VPN Plus Server

Site-to-Site VPN

Mit Site-to-Site VPN können lokale Netzwerke an verschiedenen Standorten sicher über das Internet miteinander kommunizieren. Diese Seite beschreibt die Einrichtung von Site-to-Site VPN und die Einstellungen auf den Registerkarten Allgemein und Verschlüsselung.

Eine Site-to-Site VPN-Verbindung einrichten

Gehen Sie wie folgt vor, um eine Site-to-Site VPN-Verbindung zwischen zwei Synology Routern einzurichten:

Richten Sie zwei Synology Router ein und aktivieren Sie Site-to-Site VPN auf jedem Gerät.

Öffnen Sie auf einem der Synology Router VPN Plus Server > Site-to-Site VPN.

Klicken Sie auf Hinzufügen > Manuell.

Konfigurieren Sie die Einstellungen auf den Registerkarten Allgemein und Verschlüsselung und speichern Sie Ihre Einstellungen.

Klicken Sie auf Profil exportieren, um die VPN-Konfiguration auf Ihrem Computer zu speichern.

Melden Sie sich auf dem anderen Synology Router an und öffnen Sie VPN Plus Server > Site-to-Site VPN.

Klicken Sie auf Hinzufügen > Profil importieren.

Wählen Sie das vom ersten Synology Router exportierte Profil aus und speichern Sie die Einstellungen.

Eine Site-to-Site VPN-Verbindung ist nun zwischen beiden Synology Routern eingerichtet.

Anmerkung:

Profilexport und -import sind nur verfügbar, wenn Sie eine Verbindung zwischen Synology Routern herstellen. Diese Funktion kann nicht verwendet werden, wenn Sie eine Site-to-Site VPN-Verbindung mit IPsec-kompatiblen Geräten von Drittanbietern einrichten.

Allgemein

Optionsname	Beschreibung
Profilname	Benennen Sie dieses Profil.
Vorinstallierter Schlüssel	Geben Sie den vorinstallierten Schlüssel an beiden Standorten an, um die Sicherheit zu erhöhen. Die Verbindung wird nur hergestellt, wenn an beiden Standorten derselbe vorinstallierte Schlüssel angegeben wird.
Diese Verbindung aktivieren	Diese Verbindung aktivieren direkt nach der Einrichtung. Diese Funktion wird nur wirksam, wenn sie an beiden Orten aktiviert ist.
DNSSEC-Validierung aktivieren	Setzen Sie dieses Häkchen, um die DNS-Auflösung bei Site-to-Site VPN-Verbindungen mittels DNSSEC-Validierung (Domain Name System Security Extensions) zu sichern.
Lokaler Ort	Ausgehende IP: Geben Sie eine der Netzwerkschnittstellen auf Ihrem Synology Router für die Einrichtung des Site-to-Site VPN-Dienstes an. Lokale ID: Geben Sie eine lokale ID an, die eine öffentliche IP-Adresse oder ein FQDN (Fully Qualified Domain Name) sein kann. Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz an. Es werden nur Objekte vom Typ Subnetz angezeigt (definiert in den Objekt-Einstellungen), da Site-to-Site VPN keine IP-Bereich-Objekte unterstützt.
Remote-Ort	IP-Adresse/FQDN: Geben Sie die öffentliche IP-Adresse oder den FQDN des Remote-Ortes für den externen Zugriff an. Remote-ID: Geben Sie die Remote-ID an, die eine öffentliche IP-Adresse oder ein FQDN sein kann. Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz des Remote-Ortes an.
Dead Peer Detection	Aktivieren Sie Dead Peer Detection (DPD) und konfigurieren Sie die zugehörigen Einstellungen: DPD-Verzögerung: Geben Sie das Zeitintervall zwischen DPD-Paketen an. DPD-Zeitüberschreitung: Geben Sie einen Grenzwert ein, um einen Verbindungsverlust zu erkennen. Der Remote-Ort gilt als getrennt, wenn in diesem Zeitraum keine DPD-Pakete empfangen werden.

Optionsname

Beschreibung

Profilname

Benennen Sie dieses Profil.

Vorinstallierter Schlüssel

Geben Sie den vorinstallierten Schlüssel an beiden Standorten an, um die Sicherheit zu erhöhen. Die Verbindung wird nur hergestellt, wenn an beiden Standorten derselbe vorinstallierte Schlüssel angegeben wird.

Diese Verbindung aktivieren

Diese Verbindung aktivieren direkt nach der Einrichtung. Diese Funktion wird nur wirksam, wenn sie an beiden Orten aktiviert ist.

DNSSEC-Validierung aktivieren

Setzen Sie dieses Häkchen, um die DNS-Auflösung bei Site-to-Site VPN-Verbindungen mittels DNSSEC-Validierung (Domain Name System Security Extensions) zu sichern.

Lokaler Ort

Ausgehende IP: Geben Sie eine der Netzwerkschnittstellen auf Ihrem Synology Router für die Einrichtung des Site-to-Site VPN-Dienstes an.
Lokale ID: Geben Sie eine lokale ID an, die eine öffentliche IP-Adresse oder ein FQDN (Fully Qualified Domain Name) sein kann.
Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz an. Es werden nur Objekte vom Typ Subnetz angezeigt (definiert in den Objekt-Einstellungen), da Site-to-Site VPN keine IP-Bereich-Objekte unterstützt.

Remote-Ort

IP-Adresse/FQDN: Geben Sie die öffentliche IP-Adresse oder den FQDN des Remote-Ortes für den externen Zugriff an.
Remote-ID: Geben Sie die Remote-ID an, die eine öffentliche IP-Adresse oder ein FQDN sein kann.
Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz des Remote-Ortes an.

Dead Peer Detection

Aktivieren Sie Dead Peer Detection (DPD) und konfigurieren Sie die zugehörigen Einstellungen:

DPD-Verzögerung: Geben Sie das Zeitintervall zwischen DPD-Paketen an.
DPD-Zeitüberschreitung: Geben Sie einen Grenzwert ein, um einen Verbindungsverlust zu erkennen. Der Remote-Ort gilt als getrennt, wenn in diesem Zeitraum keine DPD-Pakete empfangen werden.

Verschlüsselung

Optionsname	Beschreibung
IKE-Version	Wählen Sie IKEv1 oder IKEv2. Beide Orte müssen dieselbe IKE-Version verwenden.
Modus	Wählen Sie Main Mode oder Aggressive Mode. Beide Orte müssen denselben Modus verwenden.
Verschlüsselung	Wählen Sie aus AES256, AES192, AES128 und 3DES mindestens einen AES-Verschlüsselungstyp aus. Mindestens eine Auswahl muss mit der vom Remote-Ort verwendeten Verschlüsselung übereinstimmen.
Authentifizierung	Wählen Sie einen oder mehrere Authentifizierungstypen aus SHA-512, SHA-384, SHA-256, SHA1 und MD5 aus. Mindestens eine Auswahl muss mit dem vom Remote-Ort verwendeten Authentifizierungstyp übereinstimmen.
DH-Gruppe	Geben Sie dieselbe Diffie-Hellman-(DH)-Gruppe für beide Orte an.
Schlüsselgültigkeitsdauer	Geben Sie an, wie lange Ihr Schlüssel gültig sein soll. Nachdem die Gültigkeit des Schlüssels abgelaufen ist, tauschen beide Orte einen neuen Schlüssel aus.
Perfect Forward Secrecy (PFS) aktivieren	Das Aktivieren dieser Option kann die Leistung leicht beeinträchtigen, erhöht jedoch die Sicherheit.

Optionsname

Beschreibung

IKE-Version

Wählen Sie IKEv1 oder IKEv2. Beide Orte müssen dieselbe IKE-Version verwenden.

Modus

Wählen Sie Main Mode oder Aggressive Mode. Beide Orte müssen denselben Modus verwenden.

Verschlüsselung

Wählen Sie aus AES256, AES192, AES128 und 3DES mindestens einen AES-Verschlüsselungstyp aus. Mindestens eine Auswahl muss mit der vom Remote-Ort verwendeten Verschlüsselung übereinstimmen.

Authentifizierung

Wählen Sie einen oder mehrere Authentifizierungstypen aus SHA-512, SHA-384, SHA-256, SHA1 und MD5 aus. Mindestens eine Auswahl muss mit dem vom Remote-Ort verwendeten Authentifizierungstyp übereinstimmen.

DH-Gruppe

Geben Sie dieselbe Diffie-Hellman-(DH)-Gruppe für beide Orte an.

Schlüsselgültigkeitsdauer

Geben Sie an, wie lange Ihr Schlüssel gültig sein soll. Nachdem die Gültigkeit des Schlüssels abgelaufen ist, tauschen beide Orte einen neuen Schlüssel aus.

Perfect Forward Secrecy (PFS) aktivieren

Das Aktivieren dieser Option kann die Leistung leicht beeinträchtigen, erhöht jedoch die Sicherheit.

Hinweis:

Die privaten Subnetze von lokalen und Remote-Orten dürfen sich nicht überschneiden.
Weitere technische Informationen über Dead Peer Detection finden Sie im Dokument RFC 3706.
Der lokale Synology Router, der die Site-to-Site VPN-Verbindung verwaltet, kann nicht auf das private Subnetz des Remote-Orts zugreifen.
Wenn Sie Site-to-Site VPN zwischen zwei Synology Routern (z. B. Standort A und B) manuell konfigurieren, müssen Sie die Lokaler Ort-Informationen von Standort A im Abschnitt Remote-Ort von Standort B angeben und umgekehrt.
Verbindungsfehler können auftreten, wenn die Konfigurationen an den beiden Orten nicht übereinstimmen. Um dies zu vermeiden, stellen Sie sicher, dass beide Orte dieselbe SRM-Version verwenden, und exportieren Sie die Konfiguration (d. h. das Profil) an einem Ort, um sie am anderen zu importieren.
Weitere Informationen zu Site-to-Site VPN:
- Warum kann ich keine Site-to-Site VPN-Verbindung einrichten?
- Warum kann ich über Site-to-Site VPN nicht auf Remote-Geräte zugreifen, selbst wenn der Status der VPN-Verbindung „Verbunden“ lautet?