VPN Plus Server

Site-to-Site VPN

Le service Site-to-Site VPN permet aux réseaux locaux situés à différents emplacements physiques de communiquer en toute sécurité les uns avec les autres sur Internet. Cette page vous guide tout au long de la configuration de Site-to-Site VPN et des paramètres dans les onglets Général et Chiffrement.

Configurer une connexion Site-to-Site VPN

Suivez les étapes ci-dessous pour établir une connexion Site-to-Site VPN entre deux périphériques Synology Router :

Configurez deux périphériques Synology Router et activez la fonctionnalité Site-to-Site VPN sur chaque appareil.

Sur l'un de vos périphériques Synology Router, accédez à VPN Plus Server > Site-to-Site VPN.

Cliquez sur Ajouter > Manuellement.

Configurez les paramètres dans les onglets Général et Chiffrement, puis enregistrez vos paramètres.

Cliquez sur Exporter le profil pour enregistrer la configuration VPN sur votre ordinateur.

Connectez-vous à l'autre Synology Router et accédez à VPN Plus Server > Site-to-Site VPN.

Cliquez sur Ajouter > Importer le profil.

Sélectionnez le profil exporté depuis le premier Synology Router et enregistrez les paramètres.

Une connexion Site-to-Site VPN est maintenant établie entre les deux périphériques Synology Router.

Remarque :

L'exportation et l'importation de profils ne sont disponibles que lors de la connexion entre des périphériques Synology Router. Vous ne pouvez pas utiliser cette fonctionnalité lors de la configuration d'une connexion Site-to-Site VPN avec des périphériques compatibles IPsec tiers.

Général

Nom de l'option	Description
Nom de profil	Nommez ce profil.
Clé pré-partagée	Spécifiez la clé pré-partagée des deux côtés pour améliorer la sécurité. Les connexions ne seront possibles que si la clé pré-partagée identique est spécifiée sur les deux sites.
Activer cette connexion	Activer la connexion juste après la configuration. Cette fonction entre en vigueur uniquement si elle est activée sur les deux sites.
Activer la validation DNSSEC	Cochez cette case pour sécuriser les résolutions DNS via la validation DNSSEC (Domain Name System Security Extensions) lors des connexions Site-to-Site VPN.
Site local	IP sortante : Spécifiez l'une des interfaces réseau de votre Synology Router pour configurer le service Site-to-Site VPN. ID local : Spécifiez un ID local, qui peut être une adresse IP publique ou un FQDN (Fully Qualified Domain Name). Sous-réseau privé : Spécifiez le réseau local dans le sous-réseau privé. Seuls les objets de type sous-réseau (définis dans les paramètres Objet) sont affichés, car Site-to-Site VPN ne prend pas en charge les objets de type plage IP.
Site distant	Adresse IP/FQDN : Spécifiez l'adresse IP publique ou le FQDN du site distant pour autoriser l'accès externe. ID distant : Spécifiez l'ID distant, qui peut être une adresse IP publique ou un FQDN. Sous-réseau privé : Spécifiez le réseau local dans le sous-réseau privé du site distant.
Dead Peer Detection	Activez Dead Peer Detection (DPD) et configurez les paramètres associés : Délai DPD : Spécifiez l'intervalle de temps entre les paquets DPD. Expiration DPD : Spécifiez un seuil temporel pour détecter une perte de connexion. Le site distant est considéré comme déconnecté si aucun paquet DPD n'est reçu pendant cette période.

Nom de l'option

Description

Nom de profil

Nommez ce profil.

Clé pré-partagée

Spécifiez la clé pré-partagée des deux côtés pour améliorer la sécurité. Les connexions ne seront possibles que si la clé pré-partagée identique est spécifiée sur les deux sites.

Activer cette connexion

Activer la connexion juste après la configuration. Cette fonction entre en vigueur uniquement si elle est activée sur les deux sites.

Activer la validation DNSSEC

Cochez cette case pour sécuriser les résolutions DNS via la validation DNSSEC (Domain Name System Security Extensions) lors des connexions Site-to-Site VPN.

Site local

IP sortante : Spécifiez l'une des interfaces réseau de votre Synology Router pour configurer le service Site-to-Site VPN.
ID local : Spécifiez un ID local, qui peut être une adresse IP publique ou un FQDN (Fully Qualified Domain Name).
Sous-réseau privé : Spécifiez le réseau local dans le sous-réseau privé. Seuls les objets de type sous-réseau (définis dans les paramètres Objet) sont affichés, car Site-to-Site VPN ne prend pas en charge les objets de type plage IP.

Site distant

Adresse IP/FQDN : Spécifiez l'adresse IP publique ou le FQDN du site distant pour autoriser l'accès externe.
ID distant : Spécifiez l'ID distant, qui peut être une adresse IP publique ou un FQDN.
Sous-réseau privé : Spécifiez le réseau local dans le sous-réseau privé du site distant.

Dead Peer Detection

Activez Dead Peer Detection (DPD) et configurez les paramètres associés :

Délai DPD : Spécifiez l'intervalle de temps entre les paquets DPD.
Expiration DPD : Spécifiez un seuil temporel pour détecter une perte de connexion. Le site distant est considéré comme déconnecté si aucun paquet DPD n'est reçu pendant cette période.

Chiffrement

Nom de l'option	Description
Version d'IKE	Sélectionnez IKEv1 ou IKEv2. Les deux sites doivent disposer de la même version d'IKE.
Mode	Sélectionnez Mode principal ou Mode agressif. Les deux sites doivent avoir le même mode.
Chiffrement	Sélectionnez un ou plusieurs types de chiffrement AES parmi AES256, AES192, AES128 et 3DES. Au moins une sélection doit correspondre au chiffrement utilisé par le site distant.
Authentification	Sélectionnez un ou plusieurs types d'authentification parmi SHA-512, SHA-384, SHA-256, SHA1 et MD5. Au moins une sélection doit correspondre au type d'authentification utilisé par le site distant.
Groupe DH	Spécifiez le même groupe Diffie-Hellman (DH) pour les deux sites.
Durée de vie de la clé	Spécifiez la durée de validité de votre clé. Lorsque la clé expire, les deux sites échangent une nouvelle clé.
Activer Perfect Forward Secrecy (PFS)	L'activation de cette option peut légèrement affecter les performances, mais améliore cependant le niveau de sécurité.

Nom de l'option

Description

Version d'IKE

Sélectionnez IKEv1 ou IKEv2. Les deux sites doivent disposer de la même version d'IKE.

Mode

Sélectionnez Mode principal ou Mode agressif. Les deux sites doivent avoir le même mode.

Chiffrement

Sélectionnez un ou plusieurs types de chiffrement AES parmi AES256, AES192, AES128 et 3DES. Au moins une sélection doit correspondre au chiffrement utilisé par le site distant.

Authentification

Sélectionnez un ou plusieurs types d'authentification parmi SHA-512, SHA-384, SHA-256, SHA1 et MD5. Au moins une sélection doit correspondre au type d'authentification utilisé par le site distant.

Groupe DH

Spécifiez le même groupe Diffie-Hellman (DH) pour les deux sites.

Durée de vie de la clé

Spécifiez la durée de validité de votre clé. Lorsque la clé expire, les deux sites échangent une nouvelle clé.

Activer Perfect Forward Secrecy (PFS)

L'activation de cette option peut légèrement affecter les performances, mais améliore cependant le niveau de sécurité.

Remarque :

Les sous-réseaux privés de sites locaux et distants ne peuvent pas se recouvrir.
Consultez le document RFC 3706 pour plus d'informations techniques sur Dead Peer Detection.
Le Synology Router local gérant la connexion Site-to-Site VPN ne peut pas accéder au sous-réseau privé du site distant.
Lorsque vous configurez manuellement Site-to-Site VPN entre deux Synology Router (par exemple, site A et site B), vous devez spécifier les informations Site local du site A dans la section Site distant du site B, et inversement.
Des échecs de connexion peuvent survenir si les configurations entre les deux sites sont incohérentes. Pour éviter cela, assurez-vous que les deux sites utilisent la même version de SRM et exportez la configuration (c'est-à-dire le profil) d'un site pour l'importer sur l'autre.
Pour plus d'informations sur Site-to-Site VPN :
- Pourquoi ne puis-je pas configurer une connexion Site-to-Site VPN correctement ?
- Pourquoi ne puis-je pas accéder aux périphériques distants via le Site-to-Site VPN, même si la connexion VPN est à l'état « Connecté » ?