Site-to-Site VPN
Служба Site-to-Site VPN позволяет локальным сетям, находящимся в разных местах безопасно подключаться друг к другу через Интернет. На этой странице приведены инструкции по настройке Site-to-Site VPN и настройкам на вкладках Общие и Шифрование.
Настройка подключения Site-to-Site VPN
Выполните следующие действия, чтобы установить подключение Site-to-Site VPN между двумя Synology NAS.
- Настройте два Synology NAS и активируйте функцию Site-to-Site VPN на SRM (дополнительную информацию о плане лицензирования см. на этой веб-странице).
- На любом из Synology NAS выберите VPN Plus Server > Site-to-Site VPN.
- Если вы ранее не использовали Synology VPN, выполните вход в учетную запись Synology и включите службу бесплатно. После активации эта функция будет всегда доступна для Synology NAS.
- Нажмите Добавить > Вручную.
- Настройте параметры на вкладках Общие и Шифрование, а затем сохраните настройки.
- Нажмите Экспорт профиля, чтобы экспортировать конфигурации VPN на компьютер.
- Выберите VPN Plus Server > Site-to-Site VPN на другом Synology NAS.
- Нажмите Добавить > Импорт профиля.
- Выберите экспортированный с предыдущего Synology NAS профиль и сохраните настройку.
- Вы настроили подключение Site-to-Site VPN между двумя устройствами.
Примечание.
- Экспорт/импорт профиля недоступен, если другое устройство с поддержкой IPSec, для которого настроен туннель Site-to-Site VPN, не является Synology NAS.
Общие
- Имя профиля. Назначить имя профилю.
- Предварительно выданный ключ. Укажите предварительно выданный ключ для обоих объектов для повышения уровня безопасности. Подключения будут успешно установлены, только если идентичные предварительно выданные ключи указаны на обоих объектах.
- Разрешить данное подключение. Установите этот флажок, чтобы запустить подключение сразу после завершения настройки. Эта функция запускается, только если она включена на обоих объектах.
- Включить проверку DNSSEC. Установите этот флажок, чтобы обеспечить безопасность разрешений DNS с помощью проверки DNSSEC (Domain Name System Security Extensions, расширения безопасности службы доменных имен) во время подключений Site-to-Site VPN.
- Локальный объект:
- Исходящий IP-адрес. Укажите один из сетевых интерфейсов Synology NAS для настройки службы Site-to-Site VPN.
- Локальный ID-адрес. Укажите локальный ИД (публичный IP-адрес или FQDN (полное доменное имя)).
- Частная подсеть. Укажите локальную сеть в частной подсети.
Примечание. Параметры в этом раскрывающемся списке определены в разделе Объект. Объекты пула адресов типа Диапазон IP-адресов не поддерживаются Site-to-Site VPN. В раскрывающемся меню отображаются только объекты типа Подсеть.
- Удаленный объект:
- IP-адрес/FQDN. Введите публичный IP-адрес или FQDN удаленного объекта для разрешения внешнего доступа.
- Удаленный ID. Укажите удаленный ИД (публичный IP-адрес или FQDN).
- Частная подсеть. Укажите локальную сеть в частной подсети удаленного объекта.
- Обнаружение неработающих пиров Dead Peer Detection.
- Включить. Установите этот флажок, чтобы включить Обнаружение неработающих пиров Dead Peer Detection (DPD).
- Задержка DPD. Укажите временной интервал между пакетами DPD.
- Истекло время ожидания DPD. Укажите пороговое значение времени. Этот параметр разрешает обнаружение потери соединения из удаленного объекта, если для Synology NAS на локальном объекте не было получено пакетов DPD в течение периода, превышающего пороговое значение времени.
Примечание.
- Частные подсети локальных и удаленных объектов не должны пересекаться.
- См. документ RFC 3706 для получения дополнительных технических сведений об обнаружении неработающих пиров Dead Peer Detection.
- Устройство Synology NAS, используемое для подключения Site-to-Site VPN на локальном объекте, не имеет доступ к частной подсети удаленного объекта.
- Если настройки Site-to-Site VPN настраиваются вручную между двумя Synology NAS (например, объектом A и объектом B), то информация в разделе Локальный объект на одном устройстве (например, объекте A) должна быть введена в разделе Удаленный объект на другом (например, объекте B) и наоборот.
- Часто задаваемые вопросы о Site-to-Site VPN:
Шифрование
- Версия IKE. Выберите IKEv1 или IKEv2. Оба объекта должны использовать одинаковую версию IKE.
- Режим. Выберите Главный режим или Агрессивный режим. Оба объекта должны использовать одинаковый режим.
- Шифрование. Выберите один или несколько типов шифрования AES: AES256, AES192, AES128 и 3DES. Необходимо выбрать не менее одного типа шифрования, который также допустим на удаленном объекте.
- Аутентификация: Выберите один тип аутентификации или более: SHA-512, SHA-384, SHA-256, SHA1 и MD5. Необходимо выбрать не менее одного типа аутентификации, который также допустим на удаленном объекте.
- Группа DH. Укажите одинаковую группу DH (Diffie-Hellman) для обоих объектов.
- Срок действия ключа. Укажите срок действия ключа. После истечения срока действия ключа оба объекта получат новый ключ.
- Включить безопасную пересылку (PFS). Включение этого параметра может незначительно повлиять на производительность, но уровень безопасности будет повышен.
- Обход NAT. Включение этого параметра гарантирует, что подключения IPSec VPN остаются открытыми при прохождении трафика через шлюзы или устройства, использующие NAT.
Примечание.
- Несовпадение конфигурации двух объектов может привести к сбою подключения. Рекомендуется экспортировать конфигурацию (т. е. профиль) в один объект и импортировать ее в другой. Таким образом можно упростить настройку и избежать сбоев подключения.