Site-to-Site VPN
Un Site-to-Site VPN permet aux réseaux locaux situés dans plusieurs endroits fixes d'établir des connexions sécurisées les uns avec les autres sur Internet.
Lors de la configuration initiale d'un Site-to-Site IPSec VPN, vous devrez peut-être ajouter manuellement un profil sur votre Synology Router, puis importer le profil vers un autre Synology Router. Pour ajouter manuellement un profil pour un Site-to-Site VPN, veuillez consulter les sections suivantes afin de comprendre les paramètres disponibles dans les onglets Général et Chiffrement.
Remarque :
- L'exportation/importation de profil n'est pas disponible si un autre périphérique pris en charge par IPSec et sur lequel vous configurez un tunnel Site-to-Site VPN n'est pas un Synology Router.
Général
- Nom de profil : personnalisez le nom de ce profil.
- Clé pré-partagée : spécifiez la clé pré-partagée des deux côtés pour améliorer la sécurité. Les connexions ne seront possibles que si la clé pré-partagée identique a été spécifiée sur les deux sites.
- Activer cette connexion : Cochez cette case pour démarrer la connexion juste après la configuration. Cette fonction entre en vigueur uniquement si elle est activée sur les deux sites.
- Activer la validation DNSSEC : cochez cette case pour sécuriser les résolutions DNS via la validation DNSSEC (Domain Name System Security Extensions) lors des connexions Site-to-Site VPN.
- Site local :
- IP sortante : spécifiez l'une des interfaces réseau qui se trouve sur votre Synology Router pour configurer le service Site-to-Site VPN.
- ID local : spécifiez l'ID local, qui peut être soit une adresse IP publique, soit un FQDN (Fully Qualified Domain Name).
- Sous-réseau privé : spécifiez le réseau local dans le sous-réseau privé.
Remarque : Les options du menu déroulant ont été définies dans Objet. Les objets de groupe d'adresses du type Plage IP ne sont pas pris en charge par la configuration Site-to-Site VPN. Seuls les objets du type Sous-réseau s'affichent dans le menu déroulant.
- Site distant :
- Adresse IP/FQDN : renseignez l'adresse IP publique ou le FQDN de votre site distant pour autoriser l'accès externe.
- ID distant : spécifiez l'ID distant, qui peut être une adresse IP publique ou un FQDN.
- Sous-réseau privé : spécifiez le réseau local dans le sous-réseau privé du site distant.
- Dead Peer Detection :
- Activer : cochez cette case pour activer Dead Peer Detection (DPD).
- Délai DPD : spécifiez l'intervalle de temps entre les paquets DPD.
- Expiration DPD : spécifiez un seuil temporel. Cette option permet de détecter une perte de connexion du site distant lorsque le Synology Router sur votre site local n'a reçu aucun paquet DPD pendant une période supérieure au seuil temporel.
Remarque :
- Les sous-réseaux privés de sites locaux et distants ne peuvent pas se recouvrir.
- Vous pouvez lire le document RFC 3706 pour davantage d'informations techniques sur Dead Peer Detection.
- Le Synology Router qui sert à la connexion Site-to-Site VPN sur le site local ne peut pas accéder au sous-réseau privé du site distant.
Chiffrement
- Version d'IKE : sélectionnez IKEv1 ou IKEv2. Les deux sites doivent disposer de la même version d'IKE.
- Mode : sélectionnez Mode principal ou Mode agressif. Les deux sites doivent avoir le même mode.
- Chiffrement : sélectionnez un ou plusieurs types de chiffrement AES parmi AES256, AES192, AES128 et 3DES. Vous devez sélectionner au moins un type de chiffrement également adopté par le site distant.
- Authentification : sélectionnez un ou plusieurs types d'authentification parmi SHA-512, SHA-384, SHA-256, SHA1 et MD5. Vous devez sélectionner au moins un type d'authentification également adopté par le site distant.
- Groupe DH : spécifiez le même groupe Diffie-Hellman (DH) pour les deux sites.
- Durée de vie de la clé : spécifiez la durée de validité de votre clé. Lorsque la clé expire, les deux sites échangent une nouvelle clé.
- Activer Perfect Forward Secrecy (PFS) : l'activation de cette option peut légèrement affecter les performances, mais améliore cependant le niveau de sécurité.
Remarque :
- Une incohérence de configuration entre les deux sites peut entraîner des échecs de connexion. Nous vous recommandons d'exporter la configuration (c'est-à-dire le profil) sur un site et de l'importer sur l'autre. De cette manière vous pouvez faciliter la configuration et éviter les échecs de connexion.