Site-to-Site VPN
Le service Site-to-Site VPN permet aux réseaux locaux situés à différents emplacements physiques de communiquer en toute sécurité les uns avec les autres sur Internet. Cette page vous guide tout au long de la configuration de Site-to-Site VPN et des paramètres dans les onglets Général et Chiffrement.
Configurer une connexion Site-to-Site VPN
Suivez les étapes ci-dessous pour établir une connexion Site-to-Site VPN entre deux Synology Router :
- Configurez deux Synology Router et activez la fonctionnalité Site-to-Site VPN sur leur SRM (reportez-vous à cette page Web pour obtenir plus d'informations sur notre plan de licence).
- Sur l'un des deux Synology Router, accédez à VPN Plus Server > Site-to-Site VPN.
- Cliquez sur Ajouter > Manuellement.
- Configurez les paramètres dans les onglets Général et Chiffrement, puis enregistrez les paramètres.
- Cliquez sur Exporter le profil pour exporter les configurations VPN vers votre ordinateur.
- Accédez à VPN Plus Server > Site-to-Site VPN sur l'autre Synology Router.
- Cliquez sur Ajouter > Importer le profil.
- Sélectionnez le profil que vous venez d'exporter à partir du premier Synology Router et enregistrez le paramètre.
- Vous avez maintenant configuré une connexion Site-to-Site VPN entre les deux périphériques.
Remarque :
- L'exportation/importation de profil n'est pas disponible si un autre périphérique pris en charge par IPSec et sur lequel vous configurez un tunnel Site-to-Site VPN n'est pas un Synology Router.
Général
- Nom de profil : nommez ce profil.
- Clé pré-partagée : spécifiez la clé pré-partagée des deux côtés pour améliorer la sécurité. Les connexions ne seront possibles que si la clé pré-partagée identique est spécifiée sur les deux sites.
- Activer cette connexion : Cochez cette case pour démarrer la connexion juste après la configuration. Cette fonction entre en vigueur uniquement si elle est activée sur les deux sites.
- Activer la validation DNSSEC : cochez cette case pour sécuriser les résolutions DNS via la validation DNSSEC (Domain Name System Security Extensions) lors des connexions Site-to-Site VPN.
- Site local :
- IP sortante : spécifiez l'une des interfaces réseau qui se trouve sur votre Synology Router pour configurer le service Site-to-Site VPN.
- ID local : spécifiez l'ID local, qui peut être soit une adresse IP publique, soit un FQDN (Fully Qualified Domain Name).
- Sous-réseau privé : spécifiez le réseau local dans le sous-réseau privé.
Remarque : Les options de ce menu déroulant sont définies dans Objet. Les objets de groupe d'adresses du type Plage IP ne sont pas pris en charge par Site-to-Site VPN. Seuls les objets du type Sous-réseau s'affichent dans le menu déroulant.
- Site distant :
- Adresse IP/FQDN : renseignez l'adresse IP publique ou le FQDN de votre site distant pour autoriser l'accès externe.
- ID distant : spécifiez l'ID distant, qui peut être une adresse IP publique ou un FQDN.
- Sous-réseau privé : spécifiez le réseau local dans le sous-réseau privé du site distant.
- Dead Peer Detection :
- Activer : cochez cette case pour activer Dead Peer Detection (DPD).
- Délai DPD : spécifiez l'intervalle de temps entre les paquets DPD.
- Expiration DPD : spécifiez un seuil temporel. Cette option permet de détecter une perte de connexion du site distant lorsque le Synology Router sur votre site local n'a reçu aucun paquet DPD pendant une période supérieure au seuil temporel.
Remarque :
- Les sous-réseaux privés de sites locaux et distants ne peuvent pas se recouvrir.
- Vous pouvez lire le document RFC 3706 pour davantage d'informations techniques sur Dead Peer Detection.
- Le Synology Router qui sert à la connexion Site-to-Site VPN sur le site local ne peut pas accéder au sous-réseau privé du site distant.
- Lorsque les paramètres Site-to-Site VPN sont configurés manuellement entre deux Synology Router (par exemple, site A et site B), les informations sous la section Site local sur un périphérique (par exemple, site A) doivent être saisies dans la section Site distant de l'autre périphérique (par exemple, site B), et inversement.
- Questions fréquentes concernant Site-to-Site VPN :
Chiffrement
- Version d'IKE : sélectionnez IKEv1 ou IKEv2. Les deux sites doivent disposer de la même version d'IKE.
- Mode : sélectionnez Mode principal ou Mode agressif. Les deux sites doivent avoir le même mode.
- Chiffrement : sélectionnez un ou plusieurs types de chiffrement AES parmi AES256, AES192, AES128 et 3DES. Vous devez sélectionner au moins un type de chiffrement également adopté par le site distant.
- Authentification : sélectionnez un ou plusieurs types d'authentification parmi SHA-512, SHA-384, SHA-256, SHA1 et MD5. Vous devez sélectionner au moins un type d'authentification également adopté par le site distant.
- Groupe DH : spécifiez le même groupe Diffie-Hellman (DH) pour les deux sites.
- Durée de vie de la clé : spécifiez la durée de validité de votre clé. Lorsque la clé expire, les deux sites échangent une nouvelle clé.
- Activer Perfect Forward Secrecy (PFS) : l'activation de cette option peut légèrement affecter les performances, mais améliore cependant le niveau de sécurité.
Remarque :
- Une incohérence de configuration entre les deux sites peut entraîner des échecs de connexion. Nous vous recommandons d'exporter la configuration (c'est-à-dire le profil) sur un site et de l'importer sur l'autre. De cette manière vous pouvez faciliter la configuration et éviter les échecs de connexion.