Site-to-Site VPN
Site-to-Site VPN 서비스를 사용하면 여러 물리적 위치에 있는 로컬 네트워크가 인터넷을 통해 서로 안전하게 통신할 수 있습니다. 이 페이지에서는 Site-to-Site VPN 설정과 일반 및 암호화 탭에서의 설정을 설명합니다.
Site-to-Site VPN 연결 설정
다음 단계를 수행하여 Synology Router 쌍 간에 Site-to-Site VPN 연결을 설정합니다.
- Synology Router 쌍을 설정하고 SRM에서 Site-to-Site VPN 기능을 활성화합니다(라이센스 요금제에 대한 자세한 내용은 이 웹페이지 참조).
- Synology Router 중 하나에서 VPN Plus Server > Site-to-Site VPN으로 이동합니다.
- 추가 > 수동을 클릭합니다.
- 일반 및 암호화 탭에서 설정을 구성한 후 저장합니다.
- 프로필 내보내기를 클릭하여 VPN 구성을 컴퓨터로 내보냅니다.
- 다른 Synology Router에서VPN Plus Server > Site-to-Site VPN으로 이동합니다.
- 추가 > 프로필 가져오기를 클릭합니다.
- 이전 Synology Router에서 방금 내보낸 프로필을 선택하고 설정을 저장합니다.
- 이제 두 장치 간에 Site-to-Site VPN 연결이 설정되었습니다.
참고:
- Site-to-Site VPN 터널을 설정한 다른 IPSec 지원 장치가 Synology Router(이)가 아니면 프로필 내보내기/가져오기를 사용할 수 없습니다.
일반
- 프로필 이름: 이 프로필 이름을 지정합니다.
- 사전 공유 키: 보안이 강화되도록 두 사이트 모두에서 사전 공유 키를 지정합니다. 두 사이트 모두에서 동일한 사전 공유 키를 지정한 경우에만 연결이 성공합니다.
- 이 연결 활성화: 이 확인란을 선택하면 설정 직후 연결이 시작됩니다. 이 기능은 두 사이트 모두에서 활성화된 경우에만 적용됩니다.
- DNSSEC 유효성 검사 활성화: Site-to-Site VPN 연결 중에 DNSSEC(Domain Name System Security Extensions) 유효성 검사를 통해 DNS 연결을 보호하려면 이 확인란을 선택합니다.
- 로컬 사이트:
- 아웃바운드 IP: Synology Router에서 네트워크 인터페이스 중 하나를 지정하여 Site-to-Site VPN 서비스를 설정합니다.
- 로컬 ID: 로컬 ID를 지정합니다. 로컬 ID는 공용 IP 주소이거나 FQDN(정규화된 도메인 이름) 중 하나일 수 있습니다.
- 비공개 서브넷: 비공개 서브넷에서 로컬 네트워크를 지정합니다.
참고: 드롭다운 메뉴의 옵션은 개체에서 정의됩니다. Site-to-Site VPN에서는 IP 범위 유형의 주소 풀 개체를 지원하지 않습니다. 드롭다운 메뉴에 있는 서브넷 유형 개체만 확인할 수 있습니다.
- 원격 사이트:
- IP 주소/FQDN: 외부 액세스를 허용하도록 원격 사이트의 공용 IP 주소 또는 FQDN을 입력합니다.
- 원격 ID: 원격 ID를 지정합니다. 원격 ID는 공용 IP 주소 또는 FQDN일 수 있습니다.
- 비공개 서브넷: 원격 사이트의 비공개 서브넷 아래에서 로컬 네트워크를 지정합니다.
- Dead Peer Detection:
- 활성화: 확인란을 선택하면 Dead Peer Detection(DPD)이 활성화됩니다.
- DPD 지연: DPD 패킷 간 시간 간격을 지정합니다.
- DPD 타임아웃: 시간 임계값을 지정합니다. 이 옵션을 사용하면 로컬 사이트의 Synology Router이(가) 시간 임계값보다 오랫동안 DPD 패킷을 수신하지 못한 경우 원격 사이트의 연결 손실을 감지할 수 있습니다.
참고:
- 로컬 및 원격 사이트의 비공개 서브넷을 중첩할 수 없습니다.
- Dead Peer Detection의 보다 자세한 기술 정보는 RFC 3706 문서를 참조하십시오.
- 로컬 사이트의 Site-to-Site VPN 연결을 위한 Synology Router 서비스가 원격 사이트의 비공개 서브넷에 액세스할 수 없습니다.
- Synology Router 쌍(예: 사이트 A와 사이트 B) 간에 수동으로 Site-to-Site VPN 설정을 구성한 경우 한 장치(예: 사이트 A)의 로컬 사이트 섹션에 있는 정보를 다른 장치(예: 사이트 B)의 원격 사이트 섹션에 입력해야 하며 반대의 경우도 마찬가지입니다.
- Site-to-Site VPN과 관련된 자주 묻는 질문:
암호화
- IKE 버전: IKEv1 또는 IKEv2를 선택합니다. 양 사이트의 IKE 버전이 동일해야 합니다.
- 모드: 메인 모드 또는 적극적인 모드를 선택합니다. 양 사이트의 모드는 동일해야 합니다.
- 암호화: AES256, AES192, AES128 및 3DES 중에서 AES 암호화 유형을 한 개 이상 선택합니다. 또한 원격 사이트에서 채택한 암호화 유형을 최소 하나 이상 선택해야 합니다.
- 인증: SHA-512, SHA-384, SHA-256, SHA1, MD5 중에서 인증 유형을 한 개 이상 선택합니다. 또한 원격 사이트에서 채택한 인증 유형을 최소 하나 이상 선택해야 합니다.
- DH 그룹: 양 사이트에 같은 DH(Diffie-Hellman) 그룹을 지정합니다.
- 키 수명: 키의 유효 기간을 지정합니다. 키가 만료되면 두 사이트 모두 새 키를 교환합니다.
- PFS(Perfect Forward Secrecy) 활성화: 이 옵션을 활성화하면 성능이 약간 영향을 받을 수 있지만 보안은 강화됩니다.
참고:
- 두 사이트 간에 구성이 일치하지 않으면 연결이 실패할 수 있습니다. 한 사이트에서 구성(즉, 프로필)을 내보내고 다른 사이트로 가져오는 것이 좋습니다. 이렇게 하면 간편하게 설정하고 연결 실패를 방지할 수 있습니다.