Site-to-Site VPN
Site-to-Site VPN 可讓多個實體地點的區域網路之間建立安全的連線,互通於網際網路。
首次設定 Site-to-Site IPSec VPN 時,您會需要在 Synology Router 上手動新增一組設定檔,然後將該設定檔匯入另一台 Synology Router。若要手動新增 Site-to-Site VPN 用的設定檔,請參考下方區塊,以了解在一般及加密頁籤內的設定。
注意:
- 若另一台支援 IPSec 的裝置並非 Synology Router,設定 Site-to-Site VPN 通道時,將無法使用前述之設定檔匯出 / 匯入功能。
一般
- 設定檔名稱:自訂該設定檔的名稱。
- 預先共同金鑰:為兩個站台設定預先共用金鑰來增強安全性。只有在兩個站台上都設定相同的預先共用金鑰時才能成功建立連線。
- 啟動此連線:若勾選此核取方塊,設定完成後將立即進行連線。只有在兩個站台都啟動此功能時才會生效。
- 啟動 DNSSEC 驗證:勾選此核取方塊,以藉由 DNSSEC (Domain Name System Security Extensions) 驗證確保 Site-to-Site VPN 連線中的 DNS 解析。
- 本地站台:
- 對外 IP:指定 Synology Router 上的一組網路介面來設定 Site-to-Site VPN 服務。
- 本地 ID:指定本地 ID,可使用外部 IP 位址或 FQDN (Fully Qualified Domain Name,完整網域名稱)。
- 私有子網路:指定私有子網路下的區域網路。
注意:下拉式選單中的選項另於物件中定義。Site-to-Site VPN 的設定不支援 IP 範圍類型的位址集區物件。下拉式選單只會顯示子網路類型的物件。
- 遠端站台:
- IP 位址 / 完整網域名稱:輸入遠端站台的外部 IP 位址或完整網域名稱來允許外部存取。
- 遠端 ID:指定遠端 ID,可使用外部 IP 位址或 FQDN。
- 私有子網路:指定遠端站台私有子網路下的區域網路。
- DPD 機制:
- 啟動:勾選核取方塊來啟動 DPD 機制 (Dead Peer Detection)。
- DPD 延遲:指定 DPD 封包的間隔時間。
- DPD 逾時:指定時間閾值。當超過該閾值的時間,但本地站台的 Synology Router 仍未收到 DPD 封包時,系統將判定與遠端站台的連線已中斷。
注意:
- 本地站台及遠端站台的私有子網路不可重疊。
- 您可以閱讀 RFC 3706 文件來進一步了解 DPD 機制的技術資訊。
- Synology Router 用於架設 Site-to-Site VPN 的本地站台時,本身無法存取遠端站台的私有子網路,而反之亦然。
加密
- IKE 版本:選擇 IKEv1 或 IKEv2。兩個站台須設定相同的 IKE 版本。
- 模式:選擇 Main Mode 或 Aggressive Mode。兩個站台須設定相同模式。
- 加密:從 AES256、AES192、AES128、3DES 中選擇一或多個 AES 加密類型。選擇的加密類型當中,至少須有一項與遠端站台相同。
- 驗證:從 SHA-512、SHA-384、SHA-256、SHA1、MD5 中選擇一或多個驗證類型。選擇的驗證類型當中,至少須有一項須與遠端站台相同。
- DH 群組:為兩個站台指定相同的 Diffie-Hellman (DH) 群組。
- 金鑰存活週期:指定金鑰有效的時間長短。金鑰到期後,兩個站台將重新交換新的金鑰。
- 啟動完美前向安全性功能 (PFS):啟動此功能可能會略為影響效能,但可加強安全性。
注意:
- 兩站台間的設定不一致時可能會導致連線失敗。建議您從一個站台匯出設定 (即:設定檔) 後,再將此檔案匯入另一個站台,以簡化設定步驟並降低錯誤的發生率。