Site-to-Site VPN
Mit Site-to-Site VPN können lokale Netzwerke an verschiedenen Standorten sicher über das Internet miteinander kommunizieren. Dieser Seite beschreibt die Einrichtung von Site-to-Site VPN und die Einstellungen auf den Registerkarten Allgemein und Verschlüsselung.
Eine Site-to-Site VPN-Verbindung einrichten
Gehen Sie wie folgt vor, um eine Site-to-Site VPN-Verbindung zwischen zwei Synology Routern einzurichten:
- Richten Sie zwei Synology Router ein und aktivieren Sie Site-to-Site VPN in ihrem SRM (weitere Informationen zu unserem Lizenzmodell finden Sie auf dieser Website).
- Öffnen Sie auf einem der Synology Router VPN Plus Server > Site-to-Site VPN.
- Klicken Sie auf Hinzufügen > Manuell.
- Konfigurieren Sie die Einstellungen auf den Registerkarten Allgemein und Verschlüsselung und speichern Sie die Einstellungen.
- Klicken Sie auf Profil exportieren, um die VPN-Konfigurationen auf Ihren Computer zu exportieren.
- Öffnen Sie auf dem anderen Synology Router VPN Plus Server > Site-to-Site VPN.
- Klicken Sie auf Hinzufügen > Profil importieren.
- Wählen Sie das eben vom anderen Synology Router exportierte Profil aus und speichern Sie die Einstellung.
- Sie haben nun eine Site-to-Site VPN-Verbindung zwischen den beiden Geräten eingerichtet.
Anmerkung:
- Profilexport/-import ist nicht verfügbar, wenn das andere Gerät mit IPSec-Unterstützung, mit dem Sie einen Site-to-Site VPN-Tunnel eingerichtet haben, kein Synology Router ist.
Allgemein
- Profilname: Benennen Sie dieses Profil.
- Vorinstallierter Schlüssel: Geben Sie den vorinstallierten Schlüssel an beiden Standortorten an, um die Sicherheit zu erhöhen. Die Verbindung wird nur hergestellt, wenn an beiden Standorten derselbe vorinstallierte Schlüssel angegeben wird.
- Diese Verbindung aktivieren: Aktivieren Sie dieses Kontrollkästchen, um die Verbindung direkt nach der Einrichtung herzustellen. Diese Funktion wird nur wirksam, wenn sie an beiden Orten aktiviert ist.
- DNSSEC-Validierung aktivieren: Setzen Sie hier ein Häkchen, um die DNS-Auflösung bei Site-to-Site VPN-Verbindung mittels DNSSEC-Validierung (Domain Name System Security Extensions) zu sichern.
- Lokaler Ort:
- Ausgehende IP: Geben Sie eine der Netzwerkschnittstellen auf Ihrem Synology Router für die Einrichtung des Site-to-Site VPN-Dienstes an.
- Lokale ID: Geben Sie eine lokale ID an, die eine öffentliche IP-Adresse oder ein FQDN (Fully Qualified Domain Name) sein kann.
- Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz an.
Anmerkung: Die Optionen in diesem Dropdown-Menü werden in Objekt definiert. Adressen-Pool-Objekte des Typs IP-Bereich werden von Site-to-Site VPN nicht unterstützt. Sie sehen im Dropdown-Menü nur Objekte des Typs Subnetz.
- Remote-Ort:
- IP-Adresse/FQDN: Tragen Sie die öffentliche IP-Adresse oder den FQDN des Remote-Ortes für den externen Zugriff ein.
- Remote-ID: Geben Sie die Remote-ID an, die eine öffentliche IP-Adresse oder ein FQDN sein kann.
- Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz des Remote-Ortes an.
- Dead Peer Detection:
- Aktivieren: Setzen Sie ein Häkchen, um Dead Peer Detection (DPD) zu aktivieren.
- DPD-Verzögerung: Geben Sie das Zeitintervall zwischen DPD-Paketen an.
- DPD-Zeitüberschreitung: Geben Sie einen Grenzwert ein. Mit dieser Option kann ein Abbruch der Verbindung zum Remote-Ort erkannt werden, wenn Ihr lokaler Synology Router länger als im hier festgelegten Zeitraum keine DPD-Pakete empfangen hat.
Anmerkung:
- Die privaten Subnetze von lokalen und Remote-Orten dürfen sich nicht überschneiden.
- Weitere technische Informationen über Dead Peer Detection finden Sie im Dokument RFC 3706.
- Der auf lokaler Seite für die Site-to-Site VPN-Verbindung dienende Synology Router kann nicht auf das private Subnetz am Remote-Ort zugreifen.
- Wenn die Site-to-Site VPN-Einstellungen zwischen zwei Synology Routern (z. B. Standort A und B) manuell konfiguriert werden, müssen die unter Lokaler Ort auf einem Gerät (z. B. Standort A) eingegebenen Informationen auf dem anderen Gerät (z. B. Standort B) unter Remote-Ort eingegeben werden und umgekehrt.
- Häufig gestellte Fragen zu Site-to-Site VPN:
Verschlüsselung
- IKE-Version: Wählen Sie IKEv1 oder IKEv2. Beide Orte müssen dieselbe IKE-Version verwenden.
- Modus: Wählen Sie Main Mode oder Aggressive Mode. Beide Orte müssen denselben Modus verwenden.
- Verschlüsselung: Wählen Sie aus AES256, AES192, AES128 und 3DES mindestens einen AES-Verschlüsselungstyp aus. Sie müssen mindestens einen Verschlüsselungstyp auswählen, der vom Remote-Ort ebenfalls verwendet wird.
- Authentifizierung: Wählen Sie aus SHA-512, SHA-384, SHA-256, SHA1, MD5 mindestens einen Authentifizierungstyp aus. Sie müssen mindestens einen Authentifizierungstyp auswählen, der vom Remote-Ort ebenfalls verwendet wird.
- DH-Gruppe: Geben Sie dieselbe Diffie-Hellman-(DH)-Gruppe für beide Orte an.
- Schlüsselgültigkeitsdauer: Geben Sie an, wie lange Ihr Schlüssel gültig sein soll. Nachdem die Gültigkeit des Schlüssels abgelaufen ist, tauschen beide Orte einen neuen Schlüssel aus.
- Perfect Forward Secrecy (PFS) aktivieren: Das Aktivieren dieser Option kann die Leistung leicht beeinträchtigen, erhöht jedoch die Sicherheit.
Anmerkung:
- Eine abweichende Konfiguration an den beiden Orten kann dazu führen, dass die Verbindung fehlschlägt. Wir empfehlen daher, die Konfiguration (d. h. das Profil) eines Ortes zu exportieren und am anderen Ort zu importieren. So können Sie die Einrichtung vereinfachen und Verbindungsfehler vermeiden.