Site-to-Site VPN
Il servizio Site-to-Site VPN consente alle reti locali in varie posizioni fisse di comunicare in modo sicuro fra loro tramite Internet. In questa pagina, è fornita una guida dettagliata alla configurazione di Site-to-Site VPN e alle impostazioni nelle schede Generale e Crittografia.
Configurare una connessione Site-to-Site VPN
Per stabilire una connessione Site-to-Site VPN tra una coppia di Synology Router, procedere come segue:
- Configurare due Synology Router e attivare la funzione Site-to-Site VPN nel relativo SRM (per ulteriori informazioni, consultare questa pagina Web).
- In uno dei Synology Router, accedere a VPN Plus Server > Site-to-Site VPN.
- Se in precedenza non è stato utilizzato Synology VPN, accedere a Synology Account e attivare il servizio gratuitamente. Dopo l’abilitazione, la funzione sarà sempre disponibile per Synology Router.
- Fare clic su Aggiungi > Manualmente.
- Configurare le impostazioni sulle schede Generale e Crittografia, quindi salvare le impostazioni.
- Fare clic su Esporta profilo per salvare le configurazioni VPN sul computer.
- Passare a VPN Plus Server > Site-to-Site VPN nell'altro Synology Router.
- Fare clic su Aggiungi > Importa profilo.
- Selezionare il profilo appena esportato dal precedente Synology Router e salvare l'impostazione.
- A questo punto, è stata impostata una connessione Site-to-Site VPN tra i due dispositivi.
Nota:
- l'esportazione/importazione profilo non è disponibile se un altro dispositivo supportato da IPSec, su cui viene configurato un tunnel Site-to-Site VPN, non è un Synology Router.
Generale
- Nome profilo: assegnare un nome a questo profilo.
- Chiave pre-condivisa: specificare la chiave pre-condivisa su entrambi i siti per migliorare la sicurezza. Le connessioni saranno eseguite correttamente solo quando la chiave pre-condivisa identica viene specifica su entrambi i siti.
- Abilita connessione: spuntare questa casella di controllo per avviare la connessione subito dopo la configurazione. Questa funzione ha effetto solo se abilitata su entrambi i siti.
- Abilita convalida DNSSEC: spuntare questa casella di controllo per proteggere risoluzioni DNS tramite la convalida DNSSEC (Domain Name System Security Extensions) durante le connessioni Site-to-Site VPN.
- Sito locale:
- IP in uscita: specificare una delle interfacce di rete in Synology Router per configurare il servizio Site-to-Site VPN.
- ID locale: specificare un ID locale, che può essere un indirizzo IP pubblico o un FQDN (Fully Qualified Domain Name).
- Subnet privata: specificare la rete locale sotto la subnet privata.
Nota: le opzioni in qusto elenco a discesa sono tate definite in Oggetto. Gli oggetti del pool indirizzi nel tipo Intervallo IP non sono supportati da Site-to-Site VPN. Saranno visualizzati solo gli oggetti nel tipo Subnet nell'elenco a discesa.
- Sito remoto:
- Indirizzo IP/FQDN: compilare l'indirizzo IP pubblico del sito remoto oppure l'FQDN che garantisce l'accesso esterno.
- ID remoto: specificare l'ID remoto, che può essere un indirizzo IP pubblico o un FQDN.
- Subnet privata: specificare la rete locale sotto la subnet privata del sito remoto.
- Dead Peer Detection:
- Abilita: spuntare la casella di controllo per abilitare Dead Peer Detection (DPD).
- Posticipo DPD: specificare l'intervallo di tempo tra i pacchetti DPD.
- Timeout DPD: specificare una soglia di tempo. Questa opzione consente di rilevare la perdita di connessione dal sito remoto quando il Synology Router sul sito locale non ha ricevuto alcun pacchetto DPD per un periodo di tempo superiore alla soglia di tempo.
Nota:
- Le subnet private di siti locali e remoti non possono sovrapporsi.
- per maggiori informazioni tecniche su Dead Peer Detection, leggere il documento RFC 3706.
- Il Synology Router in servizio per la connessione Site-to-Site VPN sul sito locale non è in grado di accedere alla subnet privata del sito remoto.
- Quando le impostazioni Site-to-Site VPN sono configurate manualmente tra una coppia di Synology Router (ad esempio, sito A e sito B), le informazioni nella sezione Sito locale su un dispositivo (ad esempio, sito A) devono essere inserite nella sezione Sito remoto sull'altro (ad esempio, sito B), e viceversa.
- Domande frequenti su Site-to-Site VPN:
Crittografia
- Versione IKE: selezionare IKEv1 o IKEv2. Entrambi i siti devono avere la stessa versione IKE.
- Modalità: selezionare Modalità principale o Modalità aggressiva. Entrambi i siti devono avere la stessa modalità.
- Crittografia: selezionare uno o più tipi di crittografia AES da AES256, AES192, AES128 e 3DES. Selezionare almeno un tipo di crittografia che viene adottato anche dal sito remoto.
- Autenticazione: selezionare uno o più tipi di autenticazione fra SHA-512, SHA-384, SHA-256, SHA1 e MD5. Selezionare almeno un tipo di autenticazione che viene adottato anche dal sito remoto.
- Gruppo DH: specificare lo stesso gruppo Diffie-Hellman (DH) per entrambi i siti.
- Durata chiave: specificare la durata della validità della chiave in uso. Alla scadenza della chiave, entrambi i siti scambieranno una nuova chiave.
- Abilita PFS (Perfect Forward Secrecy): l'attivazione di quest'opzione potrebbe influire sulle prestazioni ma fornirà maggiore sicurezza.
- NAT traversale: l'attivazione di questa opzione garantisce che le connessioni VPN IPSec restino aperte quando il traffico passa attraverso gateway o dispositivi che utilizzano NAT.
Nota:
- l'inconsistenza delle configurazioni tra i due siti potrebbe causare errori di connessione. Si consiglia di esportare la configurazione (il profilo) in un sito e di importarlo nell'altro sito. In questo modo, la configurazione viene semplificata e si evitano errori di connessione.