Site-to-Site VPN
Site-to-Site VPN 服务允许不同物理位置的本地网络通过网络安全地相互通信。此页面将引导您设置 Site-to-Site VPN,并介绍常规和加密选项卡的设置。
设置 Site-to-Site VPN 连接
请按照以下步骤在两台 Synology Router 之间建立 Site-to-Site VPN 连接:
- 设置两台 Synology Router,并且在其 SRM 上激活 Site-to-Site VPN 功能(请参阅此网页,以了解有关我们的许可计划的更多信息)。
- 前往任一台 Synology Router 的 VPN Plus Server > Site-to-Site VPN。
- 如果您之前未使用过 Synology VPN,请登录 Synology 帐户并启用此免费服务。启用后,此服务在 Synology Router 上将永久有效。
- 单击添加 > 手动。
- 前往常规和加密选项卡配置设置,然后保存设置。
- 单击导出配置文件将 VPN 配置导出到您的计算机。
- 前往另一台 Synology Router 的 VPN Plus Server > Site-to-Site VPN。
- 单击添加 > 导入配置文件。
- 选择刚从上一台 Synology Router 导出的配置文件,然后保存设置。
- 您现在已在两台设备之间设置了 Site-to-Site VPN 连接。
注意:
- 如果设置了 Site-to-Site VPN 隧道的另一个 IPSec 支持的设备不是 Synology Router,则配置文件导出/导入功能不可用。
常规
- 配置文件名称:为此配置文件命名。
- 预共享密钥:指定两个站点的预共享密钥以增强安全性。只有当两个站点指定相同的预共享密钥时,连接才会成功。
- 启用此连接:勾选此复选框以在设置后立即启动连接。只有在两个站点上都启用时,此功能才会生效。
- 启用 DNSSEC 验证:勾选此复选框可在 Site-to-Site VPN 连接期间通过 DNSSEC(域名系统安全扩展)验证保护 DNS 解析。
- 本地站点:
- 出站 IP:在 Synology Router 上指定其中一个网络接口,以设置 Site-to-Site VPN 服务。
- 本地 ID:指定本地 ID,可以是公共 IP 地址或 FQDN(完全限定域名)。
- 专用子网:指定专用子网下的本地网络。
注意:此下拉菜单中的选项在对象中定义。Site-to-Site VPN 不支持 IP 范围类型的地址池对象。下拉菜单中仅显示子网类型的对象。
- 远程站点:
- IP 地址/FQDN:填写远程站点的公共 IP 地址或 FQDN 以允许外部访问。
- 远程 ID:指定远程 ID,可以是公共 IP 地址或 FQDN。
- 专用子网:指定远程站点的专用子网下的本地网络。
- Dead Peer Detection:
- 启用:勾选此复选框可启用 Dead Peer Detection (DPD)。
- DPD 延迟:指定 DPD 数据包之间的时间间隔。
- DPD 超时:指定时间阈值。当本地站点上的 Synology Router 超过该时间阈值仍未收到任何 DPD 数据包时,系统将判定与远程站点的连接丢失。
注意:
- 本地和远程站点的专用子网不能重叠。
- 有关 Dead Peer Detection 的更多技术信息,您可以阅读 RFC 3706 文档。
- 用于本地站点上的 Site-to-Site VPN 连接的 Synology Router 无法访问远程站点的专用子网。
- 在两台 Synology Router(例如站点 A 和站点 B)之间手动配置 Site-to-Site VPN 设置时,必须将一台设备(例如站点 A)上的本地站点区域中的信息输入到另一台设备(例如站点 B)的远程站点区域中,反之亦然。
- 有关 Site-to-Site VPN 的常见问题:
加密
- IKE 版本:选择 IKEv1 或 IKEv2。两个站点必须具有相同 IKE 版本。
- 模式:选择主模式或积极模式。两个站点必须具有相同模式。
- 加密:从 AES256、AES192、AES128 和 3DES 中选择一种或多种类型的 AES 加密。必须至少选择一种远程站点也采用的加密类型。
- 验证:从 SHA 512、SHA 384、SHA 256、SHA1 和 MD5 中选择一种或多种验证类型。必须至少选择一种远程站点也采用的验证类型。
- DH 群组:为两个站点指定相同 Diffie-Hellman (DH) 群组。
- 密钥使用寿命:指定密钥的有效期。一旦密钥过期,两个站点将交换新密钥。
- 启用完全前向保密 (PFS):启用此选项可能会对性能有细微影响,但会增强安全性。
- NAT 遍历:启用此选项可确保当流量经过网关或使用 NAT 的设备时,IPSec VPN 连接保持打开状态。
注意:
- 两个站点之间的配置不一致可能会导致连接失败。建议在一个站点上导出配置(即配置文件)并将其导入到另一个站点。这样做可以方便设置并避免连接失败。