Site-to-Site VPN
Site-to-Site VPN は、複数の固定場所にあるローカル ネットワークがインターネット上でお互いに安全な接続を確立することを許可します。
初めて Site-to-Site IPSec VPN をセットアップするときは、手動で Synology Router にプロファイルを追加してから、そのプロファイルを別の Synology Router にインポートする必要があります。手動でプロファイルを Site-to-Site VPN に追加する場合は、以下のセクションで [全般] および [暗号化] タブで利用可能な設定について理解しておく必要があります。
注:
- Site-to-Site VPN tunnel を設定する別の IPSec 対応デバイスが Synology Router でない場合は、プロファイルのエクスポート/インポートは利用できません。
全般
- プロファイル名:このプロファイルの名前をカスタマイズします。
- 事前共有キー:事前共有鍵を両方のサイトで指定してセキュリティを高めます。同一の事前共有鍵が両サイトで指定された場合にのみ接続は成功します。
- この接続を有効にする:このチェックボックスにチェックを入れて、セットアップ後すぐに接続を開始してください。この機能は、両方のサイトで有効化された場合にのみ有効になります。
- DNSSEC 検証を有効にする:このチェックボックスをチェックして、Site-to-Site VPN 接続で DNSSEC (Domain Name System Security Extensions) 検証経由で DNS 解決を可能にします。
- ローカル サイト:
- アウトバウンド IP:Synology Router でネットワーク インターフェイスのうちの1つを指定し、Site-to-Site VPN サービスをセットアップします。
- ローカル ID:ローカル ID を指定します。これはパブリック IP アドレスまたは FQDN (Fully Qualified Domain Name) のいずれかになります。
- プライベート サブネット:プライベート サブネット下のローカル ネットワークを指定します。
注:ドロップダウン リストのオプションは、オブジェクトで定義されています。IP の範囲のタイプにおけるアドレス プールのオブジェクトは Site-to-Site VPN 構成でサポートされていません。ドロップダウン リストで [サブネット] タイプのオブジェクトのみを表示できます。
- リモート サイト:
- IP アドレス/FQDN:リモート サイトのパブリック IP アドレスまたは FQDN を記入して外部アクセスを可能にします。
- リモート ID:リモート ID を指定します。これはパブリック IP アドレスまたは FQDN のいずれかになります。
- プライベート サブネット:リモート サイトのプライベート サブネット下にあるローカル ネットワークを指定します。
- Dead Peer Detection:
- 有効:チェックボックスにチェックを入れて Dead Peer Detection (DPD) を有効にします。
- DPD 遅延:DPD パケット間の時間間隔を指定します。
- DPD タイムアウト:時間しきい値を指定します。このオプションは、ローカルサイトの Synology Router が DPD パケットを時間しきい値以上の長い期間受信しない場合にリモートサイトからの接続の損失を検出出来る様にします。
注:
- ローカル サイトとリモート サイトのプライベート サブネットはオーバーラップできません。
- Dead Peer Detection の技術的な詳細情報はRFC 3706ドキュメントをお読みください。
- ローカルサイトの Site-to-Site VPN 接続用 Synology Router サービスは、リモートサイトのプライベートとサブネットにアクセスできません。
暗号化
- IKE バージョン:IKEv1 または IKEv2 を選択します。両方のサイトが同じ IKE バージョンを持っていなければなりません。
- モード:[Main Mode] または [Aggressive Mode] を選択します。両方のサイトが同じモードを持っていなければなりません。
- 暗号化:AES256、AES192、AES128、および 3DES から AES 暗号化タイプを 1 つ以上選択します。リモートサイトで採用されている暗号化タイプを少なくとも1つ選択する必要があります。
- 認証:SHA-512、SHA-384、SHA-256、SHA1、MD5 から認証タイプを 1 つ以上選択します。リモートサイトで採用されている認証タイプを少なくとも1つ選択する必要があります。
- DH グループ:同じ Diffie-Hellman (DH) グループを両方のサイトに指定します。
- キーの有効期間:キーの有効期間を指定します。キーの有効機関が終了すると、両方のサイトが新しいキーを交換します。
- Perfect Forward Secrecy (PFS) を有効にする:このオプションを有効にすると、パフォーマンスにわずかに影響が出ることがありますが、セキュリティは強化されます。
注:
- 2つのサイトの構成に不一致があると、接続エラーが生じることがあります。片方のサイトから構成(プロファイルなど)をエクスポートして、もう一方のサイトにインポートすることをお勧めします。それを行う場合、セットアップを活用すれば、接続エラーを回避できます。