Site-to-Site VPN
Služba Site-to-Site VPN umožňuje navázání vzájemných zabezpečených připojení přes internet mezi místními sítěmi na více pevných místech.
Při prvním nastavení služby Site-to-Site IPSec VPN může být potřeba v zařízení Synology Router přidat ručně profil a poté tento profil importovat do jiného zařízení Synology Router. Chcete-li ručně přidat profil pro službu Site-to-Site VPN, přečtěte si následující části, ve kterých jsou uvedeny informace o nastaveních dostupných na kartách Obecné a Šifrování.
Poznámka:
- Export a import profilu není dostupný v případě, že druhým zařízením s podporou protokolu IPSec, do kterého nastavujete tunel Site-to-Site VPN, není zařízení Synology Router.
Obecné
- Název profilu: Upravte název tohoto profilu.
- Předsdílený klíč: Zabezpečení je možné zvýšit zadáním předsdíleného klíče na obou serverech. Připojení budou úspěšná pouze v případě, že byly na obou serverech zadány stejné předsdílené klíče.
- Povolit toto připojení: Zaškrtnutím tohoto políčka zahájíte připojení ihned po nastavení. Tato funkce bude fungovat pouze v případě, že je povolená na obou serverech.
- Povolit ověření DNSSEC: Zaškrtnutím tohoto políčka zajistíte rozlišení DNS prostřednictvím ověřování DNSSEC (Domain Name System Security Extensions) v průběhu připojení Site-to-Site VPN.
- Místní server:
- Odchozí IP: Stanovte jedno ze síťových rozhraní na zařízení Synology Router, které se k nastavení služby Site-to-Site VPN použije.
- Místní ID: Zadejte místní ID, kterým může být buď veřejná IP adresa, nebo název FQDN (Fully Qualified Domain Name).
- Privátní podsíť: Stanovte místní síť pod privátní podsítí.
Poznámka: Možnosti v rozevírací nabídce byly nadefinovány v objektu. Konfigurace služby Site-to-Site VPN nepodporuje objekty fondu adres typu Rozsah IP. V rozevírací nabídce se zobrazí pouze objekty typu Podsíť.
- Vzdálený server:
- IP adresa/FQDN: Chcete-li umožnit veřejný přístup, vyplňte veřejnou IP adresu nebo název FQDN vzdáleného serveru.
- Vzdálené ID: Zadejte vzdálené ID, kterým může být buď veřejná IP adresa nebo název FQDN.
- Privátní podsíť: Místní síť pod privátní podsítí vzdáleného serveru.
- Dead Peer Detection:
- Povolit: Zaškrtnutím políčka povolíte funkci Dead Peer Detection (DPD).
- Prodleva DPD: Zadejte časový interval mezi pakety DPD.
- Časový limit DPD: Zadejte mezní hodnotu doby. Tato možnost umožňuje zjistit ztrátu připojení ze vzdáleného serveru, pokud zařízení Synology Router představující místní server neobdrží žádné pakety DPD po dobu delší, než je mezní hodnota doby.
Poznámka:
- Privátní podsítě místních a vzdálených webů se nesmí překrývat.
- Další technické informace o funkci Dead Peer Detection se nacházejí v dokumentu RFC 3706.
- Zařízení Synology Router, které zajišťuje připojení Site-to-Site VPN jako místní server, nemá přístup do privátní podsítě vzdáleného serveru.
Šifrování
- Verze IKE: Vyberte možnost IKEv1 nebo IKEv2. Oba servery musí mít nastavenou stejnou verzi IKE.
- Režim: Vyberte možnost Hlavní režim nebo Agresivní režim. Oba servery musí mít nastavený stejný režim.
- Šifrování: Vyberte jeden nebo více následujících typů šifrování AES: AES256, AES192, AES128 a 3DES. Musíte vybrat alespoň jeden typ šifrování, který převezme i vzdálený server.
- Ověřování: Vyberte jeden nebo více následujících typů ověření: SHA-512, SHA-384, SHA-256, SHA1, MD5. Musíte vybrat alespoň jeden typ ověření, který převezme i vzdálený server.
- Skupina DH: Pro oba servery zadejte stejnou skupinu Diffie-Hellman (DH).
- Životnost klíče: Stanovte délku platnosti klíče. Po vypršení platnosti klíče si oba servery vymění nový klíč.
- Povolit funkci PFS (Perfect Forward Secrecy): Povolení této možnosti může mírně ovlivnit výkon, zvýší ale zabezpečení.
Poznámka:
- Nekonzistentní konfigurace serverů mohou vést k neúspěšnému připojení. Doporučujeme provést export konfigurace (tj. profilu) z jednoho serveru a importovat ji do druhého serveru. Urychlíte tak nastavení a předejdete chybám připojení.