VPN Plus Server

站点到站点 VPN

站点到站点 VPN 服务允许位于不同物理位置的本地网络通过互联网安全地相互通信。本页面将引导您完成站点到站点 VPN 的设置，以及在常规和加密选项卡中的相关设置。

设置站点到站点 VPN 连接

请按照以下步骤，在一对 Synology Router 设备之间建立站点到站点 VPN 连接：

设置一对 Synology Router 设备，并在每台设备上启用站点到站点 VPN 功能。

在任一 Synology Router 设备上，前往VPN Plus Server > 站点到站点 VPN。

单击添加 > 手动。

在常规和加密选项卡中配置设置，并保存您的设置。

单击导出配置文件，将 VPN 配置保存到您的计算机。

登录到另一台 Synology Router，并前往VPN Plus Server > 站点到站点 VPN。

单击添加 > 导入配置文件。

选择从第一台 Synology Router 导出的配置文件，并保存设置。

现在，两台 Synology Router 设备之间已建立站点到站点 VPN 连接。

注意：

配置文件的导出和导入仅适用于 Synology Router 设备之间的连接。在与第三方 IPsec 兼容设备建立站点到站点 VPN 连接时，无法使用此功能。

常规

选项名称	描述
配置文件名称	为此配置文件命名。
预共享密钥	在两个站点上指定预共享密钥以增强安全性。只有在两个站点上指定相同的预共享密钥时，连接才会成功。
启用此连接	在设置完成后立即启用连接。此功能仅在两个站点都启用时生效。
启用 DNSSEC 验证	选中此复选框，在站点到站点 VPN 连接期间通过 DNSSEC（域名系统安全扩展）验证来保护 DNS 解析安全。
本地站点	出站 IP：指定 Synology Router 上的一个网络接口，用于设置站点到站点 VPN 服务。本地 ID：指定本地 ID，可以是公网 IP 地址或 FQDN（完全限定域名）。私有子网：指定本地私有子网下的网络。仅显示子网类型对象（在对象设置中定义），因为站点到站点 VPN 不支持 IP 范围对象。
远程站点	IP 地址/FQDN：指定远程站点的公网 IP 地址或 FQDN，以允许外部访问。远程 ID：指定远程 ID，可以是公网 IP 地址或 FQDN。私有子网：指定远程站点私有子网下的本地网络。
Dead Peer Detection	启用 Dead Peer Detection（DPD）并配置相关设置： DPD 延迟：指定 DPD 数据包之间的时间间隔。 DPD 超时：指定检测连接丢失的时间阈值。如果在此期间未收到 DPD 数据包，则视为远程站点已断开连接。

选项名称

描述

配置文件名称

为此配置文件命名。

预共享密钥

在两个站点上指定预共享密钥以增强安全性。只有在两个站点上指定相同的预共享密钥时，连接才会成功。

启用此连接

在设置完成后立即启用连接。此功能仅在两个站点都启用时生效。

启用 DNSSEC 验证

选中此复选框，在站点到站点 VPN 连接期间通过 DNSSEC（域名系统安全扩展）验证来保护 DNS 解析安全。

本地站点

出站 IP：指定 Synology Router 上的一个网络接口，用于设置站点到站点 VPN 服务。
本地 ID：指定本地 ID，可以是公网 IP 地址或 FQDN（完全限定域名）。
私有子网：指定本地私有子网下的网络。仅显示子网类型对象（在对象设置中定义），因为站点到站点 VPN 不支持 IP 范围对象。

远程站点

IP 地址/FQDN：指定远程站点的公网 IP 地址或 FQDN，以允许外部访问。
远程 ID：指定远程 ID，可以是公网 IP 地址或 FQDN。
私有子网：指定远程站点私有子网下的本地网络。

Dead Peer Detection

启用 Dead Peer Detection（DPD）并配置相关设置：

DPD 延迟：指定 DPD 数据包之间的时间间隔。
DPD 超时：指定检测连接丢失的时间阈值。如果在此期间未收到 DPD 数据包，则视为远程站点已断开连接。

加密

选项名称	描述
IKE 版本	选择IKEv1或IKEv2。两个站点必须使用相同的 IKE 版本。
模式	选择主模式或主动模式。两个站点必须使用相同的模式。
加密	从 AES256、AES192、AES128 和 3DES 中选择一种或多种 AES 加密类型。至少有一种选择需与远程站点所用的加密方式一致。
身份验证	从 SHA-512、SHA-384、SHA-256、SHA1 和 MD5 中选择一种或多种认证类型。至少有一种选择需与远程站点所用的认证类型一致。
DH 组	为两个站点指定相同的 Diffie-Hellman (DH) 组。
密钥有效期	指定密钥的有效时长。密钥到期后，两个站点将交换新的密钥。
启用 Perfect Forward Secrecy (PFS)	启用此选项可能会轻微影响性能，但可提升安全性。

选项名称

描述

IKE 版本

选择IKEv1或IKEv2。两个站点必须使用相同的 IKE 版本。

模式

选择主模式或主动模式。两个站点必须使用相同的模式。

加密

从 AES256、AES192、AES128 和 3DES 中选择一种或多种 AES 加密类型。至少有一种选择需与远程站点所用的加密方式一致。

身份验证

从 SHA-512、SHA-384、SHA-256、SHA1 和 MD5 中选择一种或多种认证类型。至少有一种选择需与远程站点所用的认证类型一致。

DH 组

为两个站点指定相同的 Diffie-Hellman (DH) 组。

密钥有效期

指定密钥的有效时长。密钥到期后，两个站点将交换新的密钥。

启用 Perfect Forward Secrecy (PFS)

启用此选项可能会轻微影响性能，但可提升安全性。

注意：

本地和远程站点的私有子网不能重叠。
有关 Dead Peer Detection 的更多技术信息，请参阅RFC 3706文档。
负责 Site-to-Site VPN 连接的本地 Synology Router 无法访问远程站点的私有子网。
在两台 Synology Router 设备之间手动配置 Site-to-Site VPN（如站点 A 和站点 B）时，您必须在站点 B 的远程站点部分填写站点 A 的本地站点信息，反之亦然。
如果两个站点之间的配置不一致，可能会导致连接失败。为避免此问题，请确保两个站点使用相同的 SRM 版本，并在一个站点导出配置（即配置文件）后在另一个站点导入。
有关 Site-to-Site VPN 的更多信息：
- 为什么无法成功建立 Site-to-Site VPN 连接？
- 即使 VPN 连接状态为“已连接”，为什么无法通过 Site-to-Site VPN 访问远程设备？