Site-to-Site VPN
El servicio Site-to-Site VPN permite que las redes locales de diferentes ubicaciones físicas se comuniquen de forma segura entre sí a través de Internet. Esta página le guía a través de la configuración de Site-to-Site VPN y de las pestañas General y Cifrado.
Configurar una conexión Site-to-Site VPN
Siga los pasos que se indican a continuación para establecer una conexión Site-to-Site VPN entre un par de Synology NAS:
- Configure un par de Synology NAS y active la función Site-to-Site VPN en su SRM (consulte esta página web para obtener más información sobre nuestro plan de licencias).
- En cualquiera de los Synology NAS, vaya a VPN Plus Server > Site-to-Site VPN.
- Si no ha utilizado anteriormente Synology VPN, inicie sesión en la Cuenta Synology y active el servicio de forma gratuita. Una vez activada, la función siempre estará disponible para Synology NAS.
- Haga clic en Agregar > Manualmente.
- Configure los valores en las pestañas General y Cifrado y, a continuación, guarde la configuración.
- Haga clic en Exportar perfil para exportar las configuraciones de VPN al ordenador.
- Vaya a VPN Plus Server > Site-to-Site VPN en el otro Synology NAS.
- Haga clic en Agregar > Importar perfil.
- Seleccione el perfil que acaba de exportar del anterior Synology NAS y guarde la configuración.
- Ahora ha configurado una conexión Site-to-Site VPN entre los dos dispositivos.
Observación:
- La exportación/importación de perfiles no está disponible si otro dispositivo compatible con IPSec en el que ha configurado un túnel Site-to-Site VPN no es un Synology NAS .
General
- Nomb. perfil: asigne un nombre a este perfil.
- Clave compartida anteriormente: especifique la clave compartida anteriormente en ambos sitios para mejorar la seguridad. Las conexiones se establecerán correctamente cuando se especifique la misma clave en los dos sitios.
- Habilitar esta conexión: marque esta casilla para iniciar la conexión inmediatamente después de la configuración. Esta función solamente tiene efecto cuando está habilitada en ambos sitios.
- Habilitar validación de DNSSEC: Marque esta casilla de verificación para proteger las resoluciones de DNS mediante la validación de DNSSEC (extensiones de seguridad del sistema de nombres de dominio) durante las conexiones Site-to-Site VPN.
- Sitio local:
- IP saliente: especifique una de las interfaces de red de su Synology NAS para configurar el servicio de Site-to-Site VPN.
- ID local: especifique un ID local, que puede ser una dirección IP pública o un FQDN (nombre de dominio totalmente cualificado).
- Subred privada: especifique la red local en la subred privada.
Observación: Las opciones disponibles en este menú desplegable se han definido en Objeto. Los objetos del grupo de direcciones en el tipo Rango de IP no son compatibles con Site-to-Site VPN. Únicamente verá los objetos de tipo Subred en el menú desplegable.
- Sitio remoto:
- Dirección IP/FQDN: rellene el FQDN o la dirección IP pública del sitio remoto para permitir el acceso externo.
- ID remota: especifique el ID remoto, que puede ser una dirección IP pública o FQDN.
- Subred privada: especifique la red local en la subred privada del sitio remoto.
- Dead Peer Detection:
- Habilitar: marque la casilla de verificación para permitir Dead Peer Detection (DPD).
- Retardo DPD: especifique el intervalo de tiempo entre los paquetes DPD.
- Tiempo de espera DPD: especifique un umbral de tiempo. Esta opción permite detectar la pérdida de conexión desde el sitio remoto cuando el Synology NAS en su sitio local no ha recibido ningún paquete DPD durante un periodo superior al umbral de tiempo.
Observación:
- Las subredes privadas de sitios locales y remotos no pueden solaparse.
- Puede leer el documento RFC 3706 para obtener más información técnica sobre Dead Peer Detection.
- El Synology NAS servicio para la conexión Site-to-Site VPN en el sitio local no puede acceder a la subred privada del sitio remoto.
- Cuando los ajustes de Site-to-Site VPN se configuran manualmente entre un par de Synology NAS (por ejemplo, el sitio A y el sitio B), la información de la sección Sitio local de un dispositivo (por ejemplo, el sitio A) debe introducirse en la sección Sitio remoto del otro (por ejemplo, el sitio B) y viceversa.
- Preguntas más frecuentes sobre Site-to-Site VPN:
Cifrado
- Versión de IKE: seleccione IKEv1 o IKEv2. Los dos sitios deben tener la misma versión de IKE.
- Modo: seleccione Modo principal o Modo agresivo. Los dos sitios deben tener el mismo modo.
- Cifrado: seleccione uno o más tipos de cifrado AES de AES256, AES192, AES128 y 3DES. Debe elegir, como mínimo, un método de cifrado que también adopte el sitio remoto.
- Autenticación: seleccione uno o varios métodos de autenticación de SHA-512, SHA-384, SHA-256, SHA1 y MD5. Debe elegir, como mínimo, un método de autenticación que también adopte el sitio remoto.
- Grupo de DH: especifique el mismo grupo de Diffie-Hellman (DH) en ambos sitios.
- Ciclo de vida de la clave: Especifique el tiempo de validez de la clave. Cuando caduque, los dos sitios intercambiarán la nueva clave.
- Habilitar Confidencialidad directa total (PFS): al habilitar esta opción, el rendimiento puede verse afectado ligeramente, aunque disfrutará de mayor seguridad.
- NAT traversal: al habilitar esta opción, se garantiza que las conexiones VPN IPSec permanezcan abiertas cuando el tráfico pasa por puertas de enlace o dispositivos que utilizan NAT.
Observación:
- Si hay incoherencias de configuración entre los dos sitios, pueden producirse fallos en la conexión. Se recomienda exportar la configuración (es decir, el perfil) en un sitio e importarla al otro sitio. De este modo, podrá facilitar la configuración y evitar fallos de conexión.