Site-to-Site VPN
Met Site-to-Site VPN kunnen lokale netwerken op verschillende vaste locaties veilige onderlinge verbindingen maken via het internet.
Wanneer u Site-to-Site IPSec VPN voor het eerst instelt, moet u mogelijk handmatig een profiel aan uw Synology Router toevoegen en het profiel vervolgens importeren naar een andere Synology Router. Raadpleeg de onderstaande gedeeltes om handmatig een profiel toe te voegen aan de Site-to-Site VPN en de beschikbare instellingen in de tabbladen Algemeen en Codering te begrijpen.
Opmerking:
- profiel exporteren/importeren is niet beschikbaar wanneer een Site-to-Site VPN-tunnel is ingesteld op een ander apparaat met IPSec-ondersteuning dat geen Synology Router is.
Algemeen
- Profielnaam: Pas de naam van dit profiel aan.
- Voorafgedeelde sleutel: voer op beide sites de voorafgedeelde sleutel in om de veiligheid te verbeteren. Succesvolle verbindingen zijn alleen mogelijk wanneer de identieke voorafgedeelde sleutel op beide sites is ingevoerd.
- Deze verbinding inschakelen: schakel dit selectievakje in door onmiddellijk na instelling een verbinding te maken. Deze functie werkt alleen wanneer op beide sites ingeschakeld.
- DNSSEC-validatie inschakelen: Schakel dit selectievakje in om de DNS-omzetting via DNSSEC-validering (Domein Name System Security Extensions) tijdens Site-to-Site VPN-verbindingen te beveiligen.
- Lokale site:
- Uitgaande IP: Specificeer een van de netwerkinterfaces op uw Synology Router om de Site-to-Site VPN-service in te stellen.
- Lokale ID: Voer de lokale ID in, wat een openbaar IP-adres of een FQDN (Fully Qualified Domain Name) kan zijn.
- Privésubnetwerk: Voer het lokale netwerk in onder het privésubnetwerk.
Opmerking: De opties in het vervolgkeuzemenu zijn bepaald in Object. Adrespoolobjecten in het type IP-bereik wordt niet ondersteund door Site-to-Site VPN-configuratie. U ziet alleen de objecten in het type Subnetwerk in het vervolgkeuzemenu.
- Externe site:
- IP-adres/FQDN: Vul het openbare IP-adres of FQDN van uw externe site in om externe toegang toe te staan.
- Externe ID: Voer de externe ID in, wat een publiek IP-adres of een FQDN kan zijn.
- Privésubnetwerk: Voer het lokale netwerk in onder het privésubnetwerk van de externe site.
- Dead Peer Detection:
- Inschakelen: Schakel het selectievakje in om Dead Peer Detection (DPD) in te schakelen.
- DPD-vertraging: Geef het tijdsineterval op tussen DPD-pakketten.
- DPD-time-out: Specificeer een tijddrempelwaarde. Deze optie biedt de detectie van verbindingsverlies met de externe site wanneer de Synology Router op uw lokale site gedurende een langere periode dan de tijddrempelwaarde geen DPD-pakketten heeft ontvangen.
Opmerking:
- De privésubnetwerken van lokale en externe sites mogen elkaar niet overlappen.
- U kunt het RFC 3706-document lezen voor meer informatie over Dead Peer Detection.
- De Synology Router die als Site-to-Site VPN-verbinding op de lokale site fungeert heeft geen toegang tot het privénetwerk van de externe site.
Codering
- IKE-versie: Selecteer IKEv1 of IKEv2. Beide sites moeten dezelfde IKE-versie hebben.
- Modus: Selecteer Hoofdmodus of Agressieve modus. Beide sites moeten dezelfde modus hebben.
- Codering: Selecteer een of meer types AES-codering uit AES256, AES192, AES128 en 3DES. U moet minstens een coderingsmethode selecteren die ook door de andere site wordt gebruikt.
- Verificatie: Selecteer een of meer verificatietypes uit SHA-512, SHA-384, SHA-256, SHA1 en MD5. U moet minstens een verificactietype selecteren die ook door de andere site wordt gebruikt.
- DH groep: specificeer dezelfde Diffie-Hellman (DH) groep voor beide sites.
- Sleutellevensduur: Specificeer de geldigheid van uw sleutel. Zodra de sleutel vervalt, zullen beide sites een nieuwe sleutel uitwisselen.
- Perfect Forward Secrecy (PFS) inschakelen: Het inschakelen van deze optie kan de prestaties enigszins beïnvloeden, maar verbetert de beveiliging.
Opmerking:
- configuratie-inconsistenties tussen de twee sites kan verbindingsfouten veroorzaken. We raden u aan om de configuratie te exporteren (bijv. het profiel) van een site en te importeren op de andere site. Dit vereenvoudigt de instelling en voorkomt verbindingsfouten.