Site-to-Site VPN
Site-to-Site VPN 服务允许多个固定位置的本地网络通过 Internet 在彼此之间建立安全连接。
首次设置 Site-to-Site IPSec VPN 时,可能需要在 Synology Router 上手动添加配置文件,然后将配置文件导入另一个 Synology Router。若要为 Site-to-Site VPN 手动添加配置文件,请检查以下部分以了解常规和加密选项卡中提供的设置。
注:
- 如果设置了 Site-to-Site VPN 隧道的另一个 IPSec 支持的设备不是 Synology Router,则配置文件导出/导入功能不可用。
常规
- 配置文件名称:自定义此配置文件的名称。
- 预共享密钥:指定两个站点的预共享密钥以增强安全性。只有当两个站点指定相同的预共享密钥时,连接才会成功。
- 启用此连接:勾选此复选框以在设置后立即启动连接。只有在两个站点上都启用时,此功能才会生效。
- 启用 DNSSEC 验证:勾选此复选框可在 Site-to-Site VPN 连接期间通过 DNSSEC(域名系统安全扩展)验证保护 DNS 解析。
- 本地站点:
- 出站 IP:在 Synology Router 上指定其中一个网络接口,以设置 Site-to-Site VPN 服务。
- 本地 ID:指定本地 ID,可以是公共 IP 地址或 FQDN(完全限定域名)。
- 专用子网:指定专用子网下的本地网络。
注:下拉菜单中的选项已在对象中定义。Site-to-Site VPN 配置不支持 IP 范围类型的地址池对象。下拉菜单中仅显示子网类型的对象。
- 远程站点:
- IP 地址/FQDN:填写远程站点的公共 IP 地址或 FQDN 以允许外部访问。
- 远程 ID:指定远程 ID,可以是公共 IP 地址或 FQDN。
- 专用子网:指定远程站点的专用子网下的本地网络。
- Dead Peer Detection:
- 启用:勾选此复选框可启用 Dead Peer Detection (DPD)。
- DPD 延迟:指定 DPD 数据包之间的时间间隔。
- DPD 超时:指定时间阈值。此选项允许在本地站点上的 Synology Router 未收到任何 DPD 数据包的时间超过时间阈值时,检测与远程站点的连接丢失。
注:
- 本地和远程站点的专用子网不能重叠。
- 有关 Dead Peer Detection 的更多技术信息,您可以阅读 RFC 3706 文档。
- 用于本地站点上的 Site-to-Site VPN 连接的 Synology Router 无法访问远程站点的专用子网。
加密
- IKE 版本:选择 IKEv1 或 IKEv2。两个站点必须具有相同 IKE 版本。
- 模式:选择主模式或积极模式。两个站点必须具有相同模式。
- 加密:从 AES256、AES192、AES128 和 3DES 中选择一种或多种类型的 AES 加密。必须至少选择一种远程站点也采用的加密类型。
- 验证:从 SHA 512、SHA 384、SHA 256、SHA1、MD5 中选择一种或多种类型的验证。必须至少选择一种远程站点也采用的验证类型。
- DH 群组:为两个站点指定相同 Diffie-Hellman (DH) 群组。
- 密钥使用寿命:指定密钥的有效期。一旦密钥过期,两个站点将交换新密钥。
- 启用完美前向保密 (PFS):启用此选项可能会对性能有细微影响,但会增强安全性。
注:
- 两个站点之间的配置不一致可能会导致连接失败。建议在一个站点上导出配置(即配置文件)并将其导入到另一个站点。这样做可以方便设置并避免连接失败。