Site-to-Site VPN
Site-to-Site VPN permite que las redes locales de varias ubicaciones fijas establezcan conexiones seguras entre sí a través de Internet.
Al configurar un VPN IPSec Site-to-Site por primera vez, es posible que necesite agregar manualmente un perfil en su Synology Router y, a continuación, importar el perfil a otro Synology Router. Si va a agregar manualmente un perfil a un Site-to-Site VPN, consulte las siguientes secciones para conocer la configuración disponible en las pestañas General y Cifrado.
Observación:
- La exportación/importación de perfiles no está disponible si otro dispositivo compatible con IPSec en el que ha configurado un túnel Site-to-Site VPN no es un Synology Router .
General
- Nombre del perfil: Personalice el nombre de este perfil.
- Clave compartida anteriormente: especifique la clave compartida anteriormente en ambos sitios para mejorar la seguridad. Las conexiones se establecerán correctamente cuando se especifique la misma clave en los dos sitios.
- Habilitar esta conexión: marque esta casilla para iniciar la conexión inmediatamente después de la configuración. Esta función solamente tiene efecto cuando está habilitada en ambos sitios.
- Habilitar validación de DNSSEC: Marque esta casilla de verificación para proteger las resoluciones de DNS mediante la validación de DNSSEC (extensiones de seguridad del sistema de nombres de dominio) durante las conexiones Site-to-Site VPN.
- Sitio local:
- IP saliente: especifique una de las interfaces de red de su Synology Router para configurar el servicio de Site-to-Site VPN.
- ID local: especifique el ID local, que puede ser una dirección IP pública o un FQDN (nombre de dominio totalmente cualificado).
- Subred privada: especifique la red local en la subred privada.
Observación: Las opciones disponibles en el menú desplegable se han definido en Objeto. Los objetos del grupo de direcciones en el tipo Rango de IP no son compatibles con la configuración Site-to-Site VPN. Únicamente verá los objetos de tipo Subred en el menú desplegable.
- Sitio remoto:
- Dirección IP/FQDN: rellene el FQDN o la dirección IP pública del sitio remoto para permitir el acceso externo.
- ID remota: especifique el ID remoto, que puede ser una dirección IP pública o FQDN.
- Subred privada: especifique la red local en la subred privada del sitio remoto.
- Dead Peer Detection:
- Habilitar: marque la casilla de verificación para permitir Dead Peer Detection (DPD).
- Retardo DPD: especifique el intervalo de tiempo entre los paquetes DPD.
- Tiempo de espera DPD: especifique un umbral de tiempo. Esta opción permite detectar la pérdida de conexión desde el sitio remoto cuando el Synology Router en su sitio local no ha recibido ningún paquete DPD durante un periodo superior al umbral de tiempo.
Observación:
- Las subredes privadas de sitios locales y remotos no pueden solaparse.
- Puede leer el documento RFC 3706 para obtener más información técnica sobre Dead Peer Detection.
- El Synology Router servicio para la conexión Site-to-Site VPN en el sitio local no puede acceder a la subred privada del sitio remoto.
Cifrado
- Versión de IKE: seleccione IKEv1 o IKEv2. Los dos sitios deben tener la misma versión de IKE.
- Modo: seleccione Modo principal o Modo agresivo. Los dos sitios deben tener el mismo modo.
- Cifrado: seleccione uno o más tipos de cifrado AES de AES256, AES192, AES128 y 3DES. Debe elegir, como mínimo, un método de cifrado que también adopte el sitio remoto.
- Autenticación: seleccione uno o varios métodos de autenticación de SHA-512, SHA-384, SHA-256, SHA1 y MD5. Debe elegir, como mínimo, un método de autenticación que también adopte el sitio remoto.
- Grupo de DH: especifique el mismo grupo de Diffie-Hellman (DH) en ambos sitios.
- Ciclo de vida de la clave: Especifique el tiempo de validez de la clave. Cuando caduque, los dos sitios intercambiarán la nueva clave.
- Habilitar Confidencialidad directa total (PFS): al habilitar esta opción, el rendimiento puede verse afectado ligeramente, aunque disfrutará de mayor seguridad.
Observación:
- Si hay incoherencias de configuración entre los dos sitios, pueden producirse fallos en la conexión. Se recomienda exportar la configuración (es decir, el perfil) en un sitio e importarla al otro sitio. De este modo, podrá facilitar la configuración y evitar fallos de conexión.