Site-to-Site VPN
Připojení Site-to-Site VPN umožňuje bezpečnou komunikaci přes internet mezi místními sítěmi na více fyzických místech. Tato stránka vás provede nastavením připojení Site-to-Site VPN na kartách Obecné a Šifrování.
Nastavení připojení Site-to-Site VPN
Podle následujícího postupu vytvořte připojení Site-to-Site VPN mezi dvojicí zařízení Synology Router:
- Nastavte dvojici zařízení Synology Router a v jejich systému SRM aktivujte funkci Site-to-Site VPN (další informace o našem licenčním plánu jsou uvedeny na této webové stránce).
- Na jednom ze zařízení Synology Router přejděte do části VPN Plus Server > Site-to-Site VPN.
- Klikněte na možnost Přidat > Ručně.
- Nakonfigurujte nastavení na kartách Obecné a Šifrování, a poté tato nastavení uložte.
- Kliknutím na možnost Exportovat profil exportujte konfigurace VPN do počítače.
- Na druhém zařízení Synology Router přejděte do části VPN Plus Server > Site-to-Site VPN.
- Klikněte na možnost Přidat > Importovat profil.
- Vyberte profil, který jste právě exportovali z předchozího zařízení Synology Router a nastavení uložte.
- Právě jste mezi těmito dvěma zařízeními nastavili připojení Site-to-Site VPN.
Poznámka:
- Export a import profilu není dostupný v případě, že druhým zařízením s podporou protokolu IPSec, do kterého nastavujete tunel Site-to-Site VPN, není zařízení Synology Router.
Obecné
- Název profilu: Pojmenujte tento profil.
- Předsdílený klíč: Zabezpečení je možné zvýšit zadáním předsdíleného klíče na obou serverech. Připojení budou úspěšná pouze v případě, že jsou na obou serverech zadány stejné předsdílené klíče.
- Povolit toto připojení: Zaškrtnutím tohoto políčka zahájíte připojení ihned po nastavení. Tato funkce bude fungovat pouze v případě, že je povolená na obou serverech.
- Povolit ověření DNSSEC: Zaškrtnutím tohoto políčka zajistíte rozlišení DNS prostřednictvím ověřování DNSSEC (Domain Name System Security Extensions) v průběhu připojení Site-to-Site VPN.
- Místní server:
- Odchozí IP: Stanovte jedno ze síťových rozhraní na zařízení Synology Router, které se k nastavení služby Site-to-Site VPN použije.
- Místní ID: Zadejte místní ID, kterým může být buď veřejná IP adresa, nebo název FQDN (Fully Qualified Domain Name).
- Privátní podsíť: Stanovte místní síť pod privátní podsítí.
Poznámka: Možnosti v této rozevírací nabídce jsou nadefinovány v objektu. Připojení Site-to-Site VPN nepodporuje objekty fondu adres typu Rozsah IP. V rozevírací nabídce se zobrazí pouze objekty typu Podsíť.
- Vzdálený server:
- IP adresa/FQDN: Chcete-li umožnit veřejný přístup, vyplňte veřejnou IP adresu nebo název FQDN vzdáleného serveru.
- Vzdálené ID: Zadejte vzdálené ID, kterým může být buď veřejná IP adresa nebo název FQDN.
- Privátní podsíť: Místní síť pod privátní podsítí vzdáleného serveru.
- Dead Peer Detection:
- Povolit: Zaškrtnutím políčka povolíte funkci Dead Peer Detection (DPD).
- Prodleva DPD: Zadejte časový interval mezi pakety DPD.
- Časový limit DPD: Zadejte mezní hodnotu doby. Tato možnost umožňuje zjistit ztrátu připojení ze vzdáleného serveru, pokud zařízení Synology Router představující místní server neobdrží žádné pakety DPD po dobu delší, než je mezní hodnota doby.
Poznámka:
- Privátní podsítě místních a vzdálených webů se nesmí překrývat.
- Další technické informace o funkci Dead Peer Detection se nacházejí v dokumentu RFC 3706.
- Zařízení Synology Router, které zajišťuje připojení Site-to-Site VPN jako místní server, nemá přístup do privátní podsítě vzdáleného serveru.
- Po ruční konfiguraci nastavení připojení Site-to-Site VPN mezi dvojicí zařízení Synology Router (například server A a server B) je nutné informace uvedené v části Místní server na jednom zařízení (např. serveru A) zadat do části Vzdálený server druhého zařízení (např. serveru B) a opačně.
- Časté dotazy týkající se připojení Site-to-Site VPN:
Šifrování
- Verze IKE: Vyberte možnost IKEv1 nebo IKEv2. Oba servery musí mít nastavenou stejnou verzi IKE.
- Režim: Vyberte možnost Hlavní režim nebo Agresivní režim. Oba servery musí mít nastavený stejný režim.
- Šifrování: Vyberte jeden nebo více následujících typů šifrování AES: AES256, AES192, AES128 a 3DES. Musíte vybrat alespoň jeden typ šifrování, který převezme i vzdálený server.
- Ověřování: Vyberte jeden nebo více následujících typů ověření: SHA-512, SHA-384, SHA-256, SHA1, MD5. Musíte vybrat alespoň jeden typ ověření, který převezme i vzdálený server.
- Skupina DH: Pro oba servery zadejte stejnou skupinu Diffie-Hellman (DH).
- Životnost klíče: Stanovte délku platnosti klíče. Po vypršení platnosti klíče si oba servery vymění nový klíč.
- Povolit funkci PFS (Perfect Forward Secrecy): Povolení této možnosti může mírně ovlivnit výkon, zvýší ale zabezpečení.
Poznámka:
- Nekonzistentní konfigurace serverů mohou vést k neúspěšnému připojení. Doporučujeme provést export konfigurace (tj. profilu) z jednoho serveru a importovat ji do druhého serveru. Urychlíte tak nastavení a předejdete chybám připojení.