VPN Plus Server

Site-to-Site VPN

Site-to-Site VPN 服務可讓不同實體地點的區域網路間建立安全的連線，互通於網際網路。此頁面將引導您建立 Site-to-Site VPN，並介紹一般及加密頁籤的設定。

建立 Site-to-Site VPN 連線

請依照以下步驟操作，透過兩台 Synology Router 建立 Site-to-Site VPN 連線：

架設兩台 Synology Router，並且在個別裝置的 SRM 上啟用 Site-to-Site VPN 功能。

前往任一台 Synology Router 的 VPN Plus Server > Site-to-Site VPN。

若您尚未使用 Synology VPN，請登入 Synology 帳戶並啟用此免費服務。開通後，此服務將在 Synology Router 上永久有效。

按一下新增 > 手動。

前往一般及加密頁籤來設定選項，並儲存設定。

按一下匯出設定檔，將 VPN 設定匯至您的電腦。

前往另一台 Synology Router 的 VPN Plus Server > Site-to-Site VPN。

按一下新增 > 匯入設定檔。

選擇剛從上一台 Synology Router 匯出的設定檔，並儲存設定。

您現在已在兩台裝置之間建立 Site-to-Site VPN 連線。

注意：

設定檔的匯出與匯入僅適用於 Synology Router 之間的連線。若與第三方支援 IPsec 的裝置建立 Site-to-Site VPN 連線，將無法使用此功能。

一般

選項名稱	說明
設定檔名稱	為設定檔命名。
預先共同金鑰	為兩個站台設定預先共用金鑰來增強安全性。只有在兩個站台上都設定相同的預先共用金鑰時才能成功建立連線。
啟動此連線	啟動此連線，設定完成後將立即進行連線。只有在兩個站台都啟動此功能時才會生效。
啟動 DNSSEC 驗證	勾選此核取方塊，藉由 DNSSEC (Domain Name System Security Extensions) 驗證確保 Site-to-Site VPN 連線中的 DNS 解析。
本地站台	對外 IP：指定 Synology Router 上的一組網路介面來設定 Site-to-Site VPN 服務。本地 ID：指定本地 ID，可使用外部 IP 位址或 FQDN (Fully Qualified Domain Name，完整網域名稱)。私有子網路：指定私有子網路下的區域網路。下拉式選單中的選項另於物件中定義。Site-to-Site VPN 的設定不支援 IP 範圍類型的位址集區物件。下拉式選單只會顯示子網路類型的物件。
遠端站台	IP 位址 / 完整網域名稱：指定遠端站台的外部 IP 位址或完整網域名稱來允許外部存取。遠端 ID：指定遠端 ID，可使用外部 IP 位址或 FQDN。私有子網路：指定遠端站台下的私有子網路。
Dead Peer Detection 機制	啟用 Dead Peer Detection (DPD) 並設定相關選項： DPD 延遲：指定 DPD 封包的間隔時間。 DPD 逾時：指定時間閾值。當超過該閾值的時間，但本地站台的 Synology Router 仍未收到 DPD 封包時，系統將判定與遠端站台的連線已中斷。

選項名稱

說明

設定檔名稱

為設定檔命名。

預先共同金鑰

為兩個站台設定預先共用金鑰來增強安全性。只有在兩個站台上都設定相同的預先共用金鑰時才能成功建立連線。

啟動此連線

啟動此連線，設定完成後將立即進行連線。只有在兩個站台都啟動此功能時才會生效。

啟動 DNSSEC 驗證

勾選此核取方塊，藉由 DNSSEC (Domain Name System Security Extensions) 驗證確保 Site-to-Site VPN 連線中的 DNS 解析。

本地站台

對外 IP：指定 Synology Router 上的一組網路介面來設定 Site-to-Site VPN 服務。
本地 ID：指定本地 ID，可使用外部 IP 位址或 FQDN (Fully Qualified Domain Name，完整網域名稱)。
私有子網路：指定私有子網路下的區域網路。下拉式選單中的選項另於物件中定義。Site-to-Site VPN 的設定不支援 IP 範圍類型的位址集區物件。下拉式選單只會顯示子網路類型的物件。

遠端站台

IP 位址 / 完整網域名稱：指定遠端站台的外部 IP 位址或完整網域名稱來允許外部存取。
遠端 ID：指定遠端 ID，可使用外部 IP 位址或 FQDN。
私有子網路：指定遠端站台下的私有子網路。

Dead Peer Detection 機制

啟用 Dead Peer Detection (DPD) 並設定相關選項：

DPD 延遲：指定 DPD 封包的間隔時間。
DPD 逾時：指定時間閾值。當超過該閾值的時間，但本地站台的 Synology Router 仍未收到 DPD 封包時，系統將判定與遠端站台的連線已中斷。

加密

選項名稱	說明
IKE 版本	選擇 IKEv1 或 IKEv2。兩個站台須設定相同的 IKE 版本。
模式	選擇 Main Mode 或 Aggressive Mode。兩個站台須設定相同模式。
加密	從 AES256、AES192、AES128、3DES 中選擇一或多個 AES 加密類型。選擇的加密類型當中，至少須有一項與遠端站台相同。
驗證	從 SHA-512、SHA-384、SHA-256、SHA1 及 MD5 中選擇一或多個驗證類型。選擇的驗證類型當中，至少須有一項須與遠端站台相同。
DH 群組	為兩個站台指定相同的 Diffie-Hellman (DH) 群組。
金鑰存活週期	指定金鑰有效的時間長短。金鑰到期後，兩個站台將重新交換新的金鑰。
啟動完美前向安全性功能 (PFS)	啟動此功能可能會略為影響效能，但可加強安全性。

選項名稱

說明

IKE 版本

選擇 IKEv1 或 IKEv2。兩個站台須設定相同的 IKE 版本。

模式

選擇 Main Mode 或 Aggressive Mode。兩個站台須設定相同模式。

加密

從 AES256、AES192、AES128、3DES 中選擇一或多個 AES 加密類型。選擇的加密類型當中，至少須有一項與遠端站台相同。

驗證

從 SHA-512、SHA-384、SHA-256、SHA1 及 MD5 中選擇一或多個驗證類型。選擇的驗證類型當中，至少須有一項須與遠端站台相同。

DH 群組

為兩個站台指定相同的 Diffie-Hellman (DH) 群組。

金鑰存活週期

指定金鑰有效的時間長短。金鑰到期後，兩個站台將重新交換新的金鑰。

啟動完美前向安全性功能 (PFS)

啟動此功能可能會略為影響效能，但可加強安全性。

注意：

本地站台及遠端站台的私有子網路不可重疊。
您可以閱讀 RFC 3706 文件來進一步了解 Dead Peer Detection (DPD) 機制的技術資訊。
Synology Router 用於架設 Site-to-Site VPN 的本地站台時，本身無法存取遠端站台的私有子網路，而反之亦然。
當 Site-to-Site VPN 連線是建立於兩台 Synology Router (例如：站台 A 及站台 B) 之間，在其中一台裝置 (例如：站台 A) 上本地站台區塊內的資訊必須填在另一台裝置 (例如：站台 B) 的遠端站台區塊內，反之亦然。
兩站台間的設定不一致時可能會導致連線失敗。建議您從一個站台匯出設定 (即：設定檔) 後，再將此檔案匯入另一個站台，以簡化設定步驟並降低錯誤的發生率。
如需更多有關 Site-to-Site VPN 的資訊：
- 為什麼我無法成功建立 Site-to-Site VPN 連線？
- 為什麼在 VPN 連線狀態為「已連線」的狀況下，仍無法透過 Site-to-Site VPN 存取遠端裝置？