Site-to-Site VPN
Ein Site-to-Site VPN ermöglicht sichere Verbindungen zwischen lokalen Netzwerken an mehreren festen Standorten über das Internet.
Wenn Sie zum ersten Mal ein Site-to-Site IPSec VPN einrichten, müssen Sie unter Umständen manuell ein Profil zu Ihrem Synology Router hinzufügen und dieses dann auf einem anderen Synology Router importieren. Um manuell ein Profil für ein Site-to-Site VPN hinzufügen, lesen Sie bitte die folgenden Abschnitte mit Informationen zu den verfügbaren Einstellungen unter Allgemein und Verschlüsselung.
Anmerkung:
- Profilexport/-import ist nicht verfügbar, wenn das andere Gerät mit IPSec-Unterstützung, mit dem Sie einen Site-to-Site VPN-Tunnel eingerichtet haben, kein Synology Router ist.
Allgemein
- Profilname: Passen Sie den Namen dieses Profils an.
- Vorinstallierter Schlüssel: Legen Sie den vorinstallierten Schlüssel an beiden Orten fest, um die Sicherheit zu erhöhen. Die Verbindung wird nur hergestellt, wenn an beiden Orten exakt derselbe vorinstallierte Schlüssel angegeben wird.
- Diese Verbindung aktivieren: Aktivieren Sie dieses Kontrollkästchen, um die Verbindung direkt nach der Einrichtung herzustellen. Diese Funktion wird nur wirksam, wenn sie an beiden Orten aktiviert ist.
- DNSSEC-Validierung aktivieren: Setzen Sie hier ein Häkchen, um die DNS-Auflösung bei Site-to-Site VPN-Verbindung mittels DNSSEC-Validierung (Domain Name System Security Extensions) zu sichern.
- Lokaler Ort:
- Ausgehende IP: Geben Sie eine der Netzwerkschnittstellen auf Ihrem Synology Router für die Einrichtung des Site-to-Site VPN-Dienstes an.
- Lokale ID: Geben Sie die lokale ID an, die eine öffentliche IP-Adresse oder ein FQDN (Fully Qualified Domain Name) sein kann.
- Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz an.
Anmerkung: Die Optionen im Dropdown-Menü wurden in Objekt definiert. Adressen-Pool-Objekte des Typs IP-Bereich werden von der Site-to-Site VPN-Konfiguration nicht unterstützt. Sie sehen im Dropdown-Menü nur Objekte des Typs Subnetz.
- Remote-Ort:
- IP-Adresse/FQDN: Tragen Sie die öffentliche IP-Adresse oder den FQDN des Remote-Ortes für den externen Zugriff ein.
- Remote-ID: Geben Sie die Remote-ID an, die eine öffentliche IP-Adresse oder ein FQDN sein kann.
- Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz des Remote-Ortes an.
- Dead Peer Detection:
- Aktivieren: Setzen Sie ein Häkchen, um Dead Peer Detection (DPD) zu aktivieren.
- DPD-Verzögerung: Geben Sie das Zeitintervall zwischen DPD-Paketen an.
- DPD-Zeitüberschreitung: Geben Sie einen Grenzwert ein. Mit dieser Option kann ein Abbruch der Verbindung zum Remote-Ort erkannt werden, wenn Ihr lokaler Synology Router länger als im hier festgelegten Zeitraum keine DPD-Pakete empfangen hat.
Anmerkung:
- Die privaten Subnetze von lokalen und Remote-Orten dürfen sich nicht überschneiden.
- Weitere technische Informationen über Dead Peer Detection finden Sie im Dokument RFC 3706.
- Der auf lokaler Seite für die Site-to-Site VPN-Verbindung dienende Synology Router kann nicht auf das private Subnetz am Remote-Ort zugreifen.
Verschlüsselung
- IKE-Version: Wählen Sie IKEv1 oder IKEv2. Beide Orte müssen dieselbe IKE-Version verwenden.
- Modus: Wählen Sie Main Mode oder Aggressive Mode. Beide Orte müssen denselben Modus verwenden.
- Verschlüsselung: Wählen Sie aus AES256, AES192, AES128 und 3DES mindestens einen AES-Verschlüsselungstyp aus. Sie müssen mindestens einen Verschlüsselungstyp auswählen, der vom Remote-Ort ebenfalls verwendet wird.
- Authentifizierung: Wählen Sie aus SHA-512, SHA-384, SHA-256, SHA1, MD5 mindestens einen Authentifizierungstyp aus. Sie müssen mindestens einen Authentifizierungstyp auswählen, der vom Remote-Ort ebenfalls verwendet wird.
- DH-Gruppe: Geben Sie dieselbe Diffie-Hellman-(DH)-Gruppe für beide Orte an.
- Schlüsselgültigkeitsdauer: Geben Sie an, wie lange Ihr Schlüssel gültig sein soll. Nachdem die Gültigkeit des Schlüssels abgelaufen ist, tauschen beide Orte einen neuen Schlüssel aus.
- Perfect Forward Secrecy (PFS) aktivieren: Das Aktivieren dieser Option kann die Leistung leicht beeinträchtigen, erhöht jedoch die Sicherheit.
Anmerkung:
- Eine abweichende Konfiguration an den beiden Orten kann dazu führen, dass die Verbindung fehlschlägt. Wir empfehlen daher, die Konfiguration (d. h. das Profil) eines Ortes zu exportieren und am anderen Ort zu importieren. So können Sie die Einrichtung vereinfachen und Verbindungsfehler vermeiden.