Site-to-Site VPN
Usługa Site-to-Site VPN umożliwia sieciom lokalnym znajdującym się w wielu stałych lokalizacjach nawiązywanie bezpiecznych połączeń między sobą za pośrednictwem Internetu.
Podczas pierwszej konfiguracji Site-to-Site IPSec VPN konieczne może być ręczne dodanie profilu w urządzeniu Synology Router, a następnie zaimportowanie profilu do innego Synology Router. Aby ręcznie dodać profil dla sieci Site-to-Site VPN, sprawdź poniższe sekcje, aby zapoznać się z ustawieniami dostępnymi w kartach Ogólne i Szyfrowanie.
Uwaga:
- Eksport/import profilu nie jest dostępny, jeśli inne urządzenie obsługiwane przez IPSec, do którego został skonfigurowany tunel Site-to-Site VPN, nie jest urządzeniem Synology Router.
Ogólne
- Nazwa profilu: Dostosuj nazwę tego profilu.
- Klucz wstępny: Określ klucz wstępny w obu lokalizacjach, aby zapewnić odpowiedni poziom bezpieczeństwa. Nawiązywanie połączeń powiedzie się tylko wtedy, gdy w obu lokalizacjach wprowadzono identyczny klucz wstępny.
- Włącz to połączenie: Zaznacz to pole wyboru, aby rozpocząć połączenie od razu po zakończeniu konfiguracji. Funkcja ta będzie działać, tylko wtedy, gdy zostanie włączona w obu lokalizacjach.
- Włącz weryfikację DNSSEC: zaznacz to pole wyboru, aby zabezpieczyć rozpoznawanie DNS przez DNSSEC (Domain Name System Security Extensions) podczas połączeń Site-to-Site VPN.
- Lokalizacja lokalna:
- Wychodzący adres IP: wskaż jeden z interfejsów sieciowych urządzenia Synology Router, aby skonfigurować usługę Site-to-Site VPN.
- Identyfikator lokalny: określ identyfikator lokalny, którym może być zarówno publiczny adres IP, jak i nazwa FQDN (Fully Qualified Domain Name).
- Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci.
Uwaga: Opcje dostępne w menu rozwijanym zostały zdefiniowane w sekcji Obiekt. Obiekty puli adresów typu Zakres IP nie są obsługiwane w przypadku konfiguracji Site-to-Site VPN. W menu rozwijanym wyświetlane będą tylko obiekty typu Podsieć.
- Lokalizacja zdalna:
- Adres IP/FQDN: wprowadź publiczny adres IP lub nazwę FQDN, aby umożliwić dostęp zewnętrzny.
- Identyfikator zdalny: określ identyfikator zdalny, którym może być zarówno publiczny adres IP, jak i nazwa FQDN.
- Podsieć prywatna: sieć lokalna znajdująca się w prywatnej podsieci lokalizacji zdalnej.
- Dead Peer Detection:
- Włącz: zaznacz to pole wyboru, aby włączyć funkcję Dead Peer Detection (DPD).
- Opóźnienie DPD: określ odstęp czasowy między pakietami DPD.
- Limit czasu DPD: określ próg czasu. Ta opcja umożliwia wykrycie utraty połączenia ze zdalnej lokalizacji, gdy urządzenie Synology Router w lokalizacji lokalnej nie otrzymało żadnych pakietów DPD przez okres dłuższy niż limit czasu.
Uwaga:
- Prywatne podsieci lokalnych i zdalnych lokalizacji nie mogą na siebie nachodzić.
- Aby uzyskać więcej informacji technicznych na temat funkcji Dead Peer Detection, zapoznaj się z dokumentem RFC 3706.
- Serwer Synology Router obsługujący połączenie Site-to-Site VPN w lokalizacji lokalnej nie może uzyskać dostępu do prywatnej podsieci lokalizacji zdalnej.
Szyfrowanie
- Wersja IKE: Wybierz IKEv1 lub IKEv2. Obie lokalizacje muszą korzystać z tej samej wersji IKE.
- Tryb: Wybierz Tryb główny lub Tryb agresywny. Obie lokalizacje muszą korzystać z tego samego trybu.
- Szyfrowanie: wybierz jeden lub więcej typów szyfrowania AES spośród AES256, AES192, AES128 i 3DES. Należy wybrać co najmniej jeden typ szyfrowania stosowany również przez lokalizację zdalną.
- Uwierzytelnienie: Wybierz jeden lub więcej typów uwierzytelniania spośród SHA-512, SHA-384, SHA-256, SHA1, MD5. Należy wybrać co najmniej jeden typ uwierzytelniania stosowany również przez lokalizację zdalną.
- Grupa DH: Określ tę samą grupę DH (Diffie-Hellman) dla obu lokalizacji.
- Czas życia klucza: określ okres ważności klucza. Po wygaśnięciu klucza obie lokalizacje wymienią się nowym kluczem.
- Włącz Perfect Forward Secrecy (PFS): włączenie tej opcji może nieznacznie wpłynąć na wydajność, lecz zwiększy bezpieczeństwo.
Uwaga:
- Niespójności konfiguracji obu lokalizacji mogą skutkować niepowodzeniem połączenia. Zalecamy wyeksportowanie konfiguracji (tj. profilu) z jednej lokalizacji i zaimportowanie jej do drugiej. Ułatwi to konfigurację i pomoże uniknąć awarii połączenia.