Site-to-Site VPN
Site-to-Site VPN consente alle reti locali in varie posizioni fisse di stabilire connessioni sicure fra loro tramite Internet.
Quando si imposta per la prima volta Site-to-Site IPSec VPN, potrebbe essere necessario aggiungere manualmente un profilo in Synology Router, quindi importare il profilo su un altro Synology Router. Per aggiungere manualmente un profilo per una Site-to-Site VPN, controllare le seguenti sezioni per individuare le impostazioni disponibili sulle schede Generale e Crittografia.
Nota:
- L'esportazione/importazione profilo non è disponibile se un altro dispositivo supportato da IPSec, su cui viene configurato un tunnel Site-to-Site VPN, non è un Synology Router.
Generale
- Nome profilo: Personalizzare il nome di questo profilo.
- Chiave pre-condivisa: specificare la chiave pre-condivisa su entrambi i siti per migliorare la sicurezza. Le connessioni saranno eseguite correttamente solo quando la chiave pre-condivisa identica viene specifica su entrambi i siti.
- Abilita connessione: spuntare questa casella di controllo per avviare la connessione subito dopo la configurazione. Questa funzione avrà effetto solo se abilitata su entrambi i siti.
- Abilita convalida DNSSEC: spuntare questa casella di controllo per proteggere risoluzioni DNS tramite la convalida DNSSEC (Domain Name System Security Extensions) durante le connessioni Site-to-Site VPN.
- Sito locale:
- IP in uscita: specificare una delle interfacce di rete in Synology Router per configurare il servizio Site-to-Site VPN.
- ID locale: specificare l'ID locale, che può essere un indirizzo IP pubblico o un FQDN (Fully Qualified Domain Name).
- Subnet privata: specificare la rete locale sotto la subnet privata.
Nota: le opzioni nell'elenco a discesa sono state definite in Oggetto. Gli oggetti del pool indirizzi nel tipo Intervallo IP non sono supportati dalla configurazione Site-to-Site VPN. Saranno visualizzati solo gli oggetti nel tipo Subnet nell'elenco a discesa.
- Sito remoto:
- Indirizzo IP/FQDN: compilare l'indirizzo IP pubblico del sito remoto oppure l'FQDN che garantisce l'accesso esterno.
- ID remoto: specificare l'ID remoto, che può essere un indirizzo IP pubblico o un FQDN.
- Subnet privata: specificare la rete locale sotto la subnet privata del sito remoto.
- Dead Peer Detection:
- Abilita: spuntare la casella di controllo per abilitare Dead Peer Detection (DPD).
- Posticipo DPD: specificare l'intervallo di tempo tra i pacchetti DPD.
- Timeout DPD: specificare una soglia di tempo. Questa opzione consente di rilevare la perdita di connessione dal sito remoto quando il Synology Router sul sito locale non ha ricevuto alcun pacchetto DPD per un periodo di tempo superiore alla soglia di tempo.
Nota:
- Le subnet private di siti locali e remoti non possono sovrapporsi.
- per maggiori informazioni tecniche su Dead Peer Detection, leggere il documento RFC 3706.
- Il Synology Router in servizio per la connessione Site-to-Site VPN sul sito locale non è in grado di accedere alla subnet privata del sito remoto.
Crittografia
- Versione IKE: selezionare IKEv1 o IKEv2. Entrambi i siti devono avere la stessa versione IKE.
- Modalità: selezionare Modalità principale o Modalità aggressiva. Entrambi i siti devono avere la stessa modalità.
- Crittografia: selezionare uno o più tipi di crittografia AES da AES256, AES192, AES128 e 3DES. Selezionare almeno un tipo di crittografia che viene adottato anche dal sito remoto.
- Autenticazione: selezionare uno o più tipi di autenticazione fra SHA-512, SHA-384, SHA-256, SHA1, MD5. Selezionare almeno un tipo di autenticazione che viene adottato anche dal sito remoto.
- Gruppo DH: specificare lo stesso gruppo Diffie-Hellman (DH) per entrambi i siti.
- Durata chiave: specificare la durata della validità della chiave in uso. Alla scadenza della chiave, entrambi i siti scambieranno una nuova chiave.
- Abilita PFS (Perfect Forward Secrecy): l'attivazione di quest'opzione potrebbe influire sulle prestazioni ma fornirà maggiore sicurezza.
Nota:
- l'inconsistenza delle configurazioni tra i due siti potrebbe causare errori di connessione. Si consiglia di esportare la configurazione (il profilo) in un sito e di importarlo nell'altro sito. In questo modo, la configurazione viene semplificata e si evitano errori di connessione.