Site-to-Site VPN
Usługa Site-to-Site VPN umożliwia sieciom lokalnym znajdującym się w różnych lokalizacjach fizycznych bezpieczną komunikację między sobą za pośrednictwem Internetu. Na tej stronie znajdują się instrukcje dotyczące konfiguracji usługi Site-to-Site VPN oraz ustawień na kartach Ogólne i Szyfrowanie.
Konfigurowanie połączenia Site-to-Site VPN
Wykonaj poniższe czynności, aby nawiązać połączenie Site-to-Site VPN między dwoma urządzeniami Synology Router:
- Skonfiguruj parowanie urządzeń Synology Router i aktywuj funkcję Site-to-Site VPN w ich systemach SRM (więcej informacji na temat naszego planu licencjonowania można znaleźć na tej stronie internetowej).
- Na dowolnym z urządzeń Synology Router wybierz opcję VPN Plus Server > Site-to-Site VPN.
- Kliknij Dodaj > Ręcznie.
- Skonfiguruj ustawienia na kartach Ogólne i Szyfrowanie, a następnie zapisz ustawienia.
- Kliknij Eksportuj profil, aby wyeksportować konfiguracje VPN na komputerze.
- Wybierz opcję VPN Plus Server > Site-to-Site VPN na drugim urządzeniu Synology Router.
- Kliknij Dodaj > Importuj profile.
- Wybierz profil wyeksportowany przed chwilą z poprzedniego urządzenia Synology Router i zapisz ustawienie.
- Połączenie Site-to-Site VPN między dwoma urządzeniami zostało skonfigurowane.
Uwaga:
- Eksport/import profilu nie jest dostępny, jeśli inne urządzenie obsługiwane przez IPSec, do którego został skonfigurowany tunel Site-to-Site VPN, nie jest urządzeniem Synology Router.
Ogólne
- Nazwa profilu: Nazwij profil.
- Klucz wstępny: Określ klucz wstępny w obu lokalizacjach, aby zapewnić odpowiedni poziom bezpieczeństwa. Nawiązywanie połączeń powiedzie się tylko wtedy, gdy w obu lokalizacjach wprowadzono identyczny klucz wstępny.
- Włącz to połączenie: Zaznacz to pole wyboru, aby rozpocząć połączenie od razu po zakończeniu konfiguracji. Funkcja ta będzie działać tylko wtedy, gdy zostanie włączona w obu lokalizacjach.
- Włącz weryfikację DNSSEC: zaznacz to pole wyboru, aby zabezpieczyć rozpoznawanie DNS przez DNSSEC (Domain Name System Security Extensions) podczas połączeń Site-to-Site VPN.
- Lokalizacja lokalna:
- Wychodzący adres IP: wskaż jeden z interfejsów sieciowych urządzenia Synology Router, aby skonfigurować usługę Site-to-Site VPN.
- Identyfikator lokalny: określ identyfikator lokalny, którym może być zarówno publiczny adres IP, jak i nazwa FQDN (Fully Qualified Domain Name).
- Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci.
Uwaga: Opcje dostępne w menu rozwijanym zostały zdefiniowane w sekcji Obiekt. Obiekty puli adresów typu Zakres IP nie są obsługiwane w przez połączenia Site-to-Site VPN. W menu rozwijanym wyświetlane będą tylko obiekty typu Podsieć.
- Lokalizacja zdalna:
- Adres IP/FQDN: wprowadź publiczny adres IP lub nazwę FQDN, aby umożliwić dostęp zewnętrzny.
- Identyfikator zdalny: określ identyfikator zdalny, którym może być zarówno publiczny adres IP, jak i nazwa FQDN.
- Podsieć prywatna: sieć lokalna znajdująca się w prywatnej podsieci lokalizacji zdalnej.
- Dead Peer Detection:
- Włącz: zaznacz to pole wyboru, aby włączyć funkcję Dead Peer Detection (DPD).
- Opóźnienie DPD: określ odstęp czasowy między pakietami DPD.
- Limit czasu DPD: określ próg czasu. Ta opcja umożliwia wykrycie utraty połączenia ze zdalnej lokalizacji, gdy urządzenie Synology Router w lokalizacji lokalnej nie otrzymało żadnych pakietów DPD przez okres dłuższy niż limit czasu.
Uwaga:
- Prywatne podsieci lokalnych i zdalnych lokalizacji nie mogą na siebie nachodzić.
- Aby uzyskać więcej informacji technicznych na temat funkcji Dead Peer Detection, zapoznaj się z dokumentem RFC 3706.
- Serwer Synology Router obsługujący połączenie Site-to-Site VPN w lokalizacji lokalnej nie może uzyskać dostępu do prywatnej podsieci lokalizacji zdalnej.
- Jeśli ustawienia Site-to-Site VPN są konfigurowane ręcznie między parą urządzeń Synology Router (np. między lokalizacjami A i B), informacje z sekcji Lokalizacja lokalna jednego urządzenia (np. lokalizacji A) należy wprowadzić w sekcji Lokalizacja zdalna drugiego urządzenia (np. lokalizacji B) i odwrotnie.
- Często zadawane pytania dotyczące połączeń Site-to-Site VPN:
Szyfrowanie
- Wersja IKE: Wybierz IKEv1 lub IKEv2. Obie lokalizacje muszą korzystać z tej samej wersji IKE.
- Tryb: Wybierz Tryb główny lub Tryb agresywny. Obie lokalizacje muszą korzystać z tego samego trybu.
- Szyfrowanie: wybierz jeden lub więcej typów szyfrowania AES spośród AES256, AES192, AES128 i 3DES. Należy wybrać co najmniej jeden typ szyfrowania stosowany również przez lokalizację zdalną.
- Uwierzytelnienie: Wybierz jeden lub więcej typów uwierzytelniania spośród SHA-512, SHA-384, SHA-256, SHA1, MD5. Należy wybrać co najmniej jeden typ uwierzytelniania stosowany również przez lokalizację zdalną.
- Grupa DH: Określ tę samą grupę DH (Diffie-Hellman) dla obu lokalizacji.
- Czas życia klucza: określ okres ważności klucza. Po wygaśnięciu klucza obie lokalizacje wymienią się nowym kluczem.
- Włącz Perfect Forward Secrecy (PFS): włączenie tej opcji może nieznacznie wpłynąć na wydajność, lecz zwiększy bezpieczeństwo.
Uwaga:
- Niespójności konfiguracji obu lokalizacji mogą skutkować niepowodzeniem połączenia. Zalecamy wyeksportowanie konfiguracji (tj. profilu) z jednej lokalizacji i zaimportowanie jej do drugiej. Ułatwi to konfigurację i pomoże uniknąć awarii połączenia.