Site-to-Site VPN

Připojení Site-to-Site VPN umožňuje bezpečnou komunikaci přes internet mezi místními sítěmi na více fyzických místech. Tato stránka vás provede nastavením připojení Site-to-Site VPN na kartách Obecné a Šifrování.

Nastavení připojení Site-to-Site VPN

Podle následujícího postupu vytvořte připojení Site-to-Site VPN mezi dvojicí zařízení Synology Router:

  1. Nastavte dvojici zařízení Synology Router a na každém zařízení aktivujte funkci Site-to-Site VPN.
  2. Na jednom ze zařízení Synology Router přejděte do části VPN Plus Server > Site-to-Site VPN.
  3. Klikněte na možnost Přidat > Ručně.
  4. Nakonfigurujte nastavení na kartách Obecné a Šifrování a poté nastavení uložte.
  5. Kliknutím na možnost Exportovat profil uložte konfiguraci VPN do počítače.
  6. Přihlaste se k druhému zařízení Synology Router a přejděte do části VPN Plus Server > Site-to-Site VPN.
  7. Klikněte na možnost Přidat > Importovat profil.
  8. Vyberte profil exportovaný z prvního zařízení Synology Router a nastavení uložte.
  9. Mezi oběma zařízeními Synology Router je nyní navázáno připojení Site-to-Site VPN.

Poznámka:

Obecné

Název možnosti

Popis

Název profilu

Pojmenujte tento profil.

Předsdílený klíč

Zabezpečení je možné zvýšit zadáním předsdíleného klíče na obou serverech. Připojení budou úspěšná pouze v případě, že jsou na obou serverech zadány stejné předsdílené klíče.

Povolit toto připojení

Povolit toto připojení ihned po nastavení. Tato funkce bude fungovat pouze v případě, že je povolená na obou serverech.

Povolit ověření DNSSEC

Zaškrtnutím tohoto políčka zajistíte rozlišení DNS prostřednictvím ověřování DNSSEC (Domain Name System Security Extensions) v průběhu připojení Site-to-Site VPN.

Místní server
  • Odchozí IP: Stanovte jedno ze síťových rozhraní na zařízení Synology Router, které se k nastavení služby Site-to-Site VPN použije.
  • Místní ID: Zadejte místní ID, kterým může být buď veřejná IP adresa, nebo název FQDN (Fully Qualified Domain Name).
  • Privátní podsíť: Stanovte místní síť pod privátní podsítí. Zobrazují se pouze objekty typu podsíť (definované v nastavení objektu), protože připojení Site-to-Site VPN nepodporuje objekty typu rozsah IP.

Vzdálený server
  • IP adresa/FQDN: Chcete-li umožnit veřejný přístup, vyplňte veřejnou IP adresu nebo název FQDN vzdáleného serveru.
  • Vzdálené ID: Zadejte vzdálené ID, kterým může být buď veřejná IP adresa nebo název FQDN.
  • Privátní podsíť: Místní síť pod privátní podsítí vzdáleného serveru.

Dead Peer Detection

Povolte funkci Dead Peer Detection (DPD) a nakonfigurujte související nastavení:

  • Prodleva DPD: Zadejte časový interval mezi pakety DPD.
  • Časový limit DPD: Zadejte mezní hodnotu doby pro detekci ztráty připojení. Vzdálený server je považován za odpojený, pokud během této doby nejsou přijaty žádné pakety DPD.

Šifrování

Název možnosti

Popis

Verze IKE

Vyberte možnost IKEv1 nebo IKEv2. Oba servery musí mít nastavenou stejnou verzi IKE.

Režim

Vyberte možnost Hlavní režim nebo Agresivní režim. Oba servery musí mít nastavený stejný režim.

Šifrování

Vyberte jeden nebo více následujících typů šifrování AES: AES256, AES192, AES128 a 3DES. Musíte vybrat alespoň jeden typ šifrování, který převezme i vzdálený server.

Ověřování

Vyberte jeden nebo více typů ověření z možností SHA-512, SHA-384, SHA-256, SHA1 a MD5. Alespoň jeden vybraný typ musí odpovídat typu ověření používanému vzdáleným serverem.

Skupina DH

Pro oba servery zadejte stejnou skupinu Diffie-Hellman (DH).

Životnost klíče

Stanovte délku platnosti klíče. Po vypršení platnosti klíče si oba servery vymění nový klíč.

Povolit funkci PFS (Perfect Forward Secrecy)

Povolení této možnosti může mírně ovlivnit výkon, zvýší ale zabezpečení.

Poznámka: