Site-to-Site VPN
Site-to-Site VPN позволяет нескольким стационарным локальным сетям безопасно подключаться друг к другу через Интернет.
При первой настройке Site-to-Site IPSec VPN может потребоваться вручную добавить профиль Synology Router, а затем импортировать этот профиль на другое устройство Synology Router. Чтобы вручную добавить профиль для Site-to-Site VPN, просмотрите следующие разделы, в которых приведены настройки, доступные на вкладках Общие и Шифрование.
Примечание.
- Экспорт/импорт профиля недоступен, если другое устройство с поддержкой IPSec, для которого настроен туннель Site-to-Site VPN, не является Synology Router.
Общие
- Имя профиля. Настройте имя этого профиля.
- Предварительно выданный ключ. Укажите предварительно выданный ключ для обоих объектов для повышения уровня безопасности. Подключения будут успешно установлены, только если идентичные предварительно выданные ключи будут указаны на обоих объектах.
- Разрешить данное подключение. Установите этот флажок, чтобы запустить подключение сразу после завершения настройки. Эта функция будет запущена, только если она включена на обоих объектах.
- Включить проверку DNSSEC. Установите этот флажок, чтобы обеспечить безопасность разрешений DNS с помощью проверки DNSSEC (Domain Name System Security Extensions, расширения безопасности службы доменных имен) во время подключений Site-to-Site VPN.
- Локальный объект:
- Исходящий IP-адрес. Укажите один из сетевых интерфейсов Synology Router для настройки службы Site-to-Site VPN.
- Локальный ID. Укажите локальный ИД (публичный IP-адрес или FQDN (полное доменное имя)).
- Частная подсеть. Укажите локальную сеть в частной подсети.
Примечание. Параметры в раскрывающемся списке определены в разделе Объект. Объекты пула адресов типа Диапазон IP-адресов не поддерживаются конфигурацией Site-to-Site VPN. В раскрывающемся меню отображаются только объекты типа Подсеть.
- Удаленный объект:
- IP-адрес/FQDN. Введите публичный IP-адрес или FQDN удаленного объекта для разрешения внешнего доступа.
- Удаленный ID. Укажите удаленный ИД (публичный IP-адрес или FQDN).
- Частная подсеть. Укажите локальную сеть в частной подсети удаленного объекта.
- Обнаружение неработающих пиров Dead Peer Detection.
- Включить. Установите этот флажок, чтобы включить Обнаружение неработающих пиров Dead Peer Detection (DPD).
- Задержка DPD. Укажите временной интервал между пакетами DPD.
- Истекло время ожидания DPD. Укажите пороговое значение времени. Этот параметр разрешает обнаружение потери соединения из удаленного объекта, если для Synology Router на локальном объекте не было получено пакетов DPD в течение периода, превышающего пороговое значение времени.
Примечание.
- Частные подсети локальных и удаленных объектов не должны пересекаться.
- См. документ RFC 3706 для получения дополнительных технических сведений об обнаружении неработающих пиров Dead Peer Detection.
- Устройство Synology Router, используемое для подключения Site-to-Site VPN на локальном объекте, не имеет доступ к частной подсети удаленного объекта.
Шифрование
- Версия IKE. Выберите IKEv1 или IKEv2. Оба объекта должны использовать одинаковую версию IKE.
- Режим. Выберите Главный режим или Агрессивный режим. Оба объекта должны использовать одинаковый режим.
- Шифрование. Выберите один или несколько типов шифрования AES: AES256, AES192, AES128 и 3DES. Необходимо выбрать не менее одного типа шифрования, который также допустим на удаленном объекте.
- Аутентификация. Выберите один или несколько типов аутентификации: SHA-512, SHA-384, SHA-256, SHA1, MD5. Необходимо выбрать не менее одного типа аутентификации, который также допустим на удаленном объекте.
- Группа DH. Укажите одинаковую группу DH (Diffie-Hellman) для обоих объектов.
- Срок действия ключа. Укажите срок действия ключа. После истечения срока действия ключа оба объекта получат новый ключ.
- Включить безопасную пересылку (PFS). Включение этого параметра может незначительно повлиять на производительность, но уровень безопасности будет повышен.
Примечание.
- Несовпадение конфигурации двух объектов может привести к сбою подключения. Рекомендуется экспортировать конфигурацию (т. е. профиль) в один объект и импортировать ее в другой. Таким образом можно упростить настройку и избежать сбоев подключения.