VPN Plus Server

Site-to-Site VPN

Il servizio Site-to-Site VPN consente alle reti locali in diverse posizioni fisiche di comunicare in modo sicuro fra loro tramite Internet. In questa pagina viene fornita una guida alla configurazione di Site-to-Site VPN e alle impostazioni nelle schede Generale e Crittografia.

Configurare una connessione Site-to-Site VPN

Per stabilire una connessione Site-to-Site VPN tra una coppia di dispositivi Synology Router, procedere come segue:

Configurare una coppia di dispositivi Synology Router e attivare la funzione Site-to-Site VPN su ciascun dispositivo.

In uno dei dispositivi Synology Router, accedere a VPN Plus Server > Site-to-Site VPN.

Fare clic su Aggiungi > Manualmente.

Configurare le impostazioni sia nella scheda Generale che in Crittografia, quindi salvare le impostazioni.

Fare clic su Esporta profilo per salvare la configurazione VPN sul computer.

Accedere all'altro Synology Router e andare su VPN Plus Server > Site-to-Site VPN.

Fare clic su Aggiungi > Importa profilo.

Selezionare il profilo esportato dal primo Synology Router e salvare le impostazioni.

A questo punto, è stata stabilita una connessione Site-to-Site VPN tra i due dispositivi Synology Router.

Nota:

L'esportazione e l'importazione del profilo sono disponibili solo quando si collega tra dispositivi Synology Router. Non è possibile utilizzare questa funzione quando si configura una connessione Site-to-Site VPN con dispositivi compatibili IPsec di terze parti.

Generale

Nome opzione	Descrizione
Nome profilo	Assegnare un nome a questo profilo.
Chiave pre-condivisa	Specificare la chiave pre-condivisa su entrambi i siti per migliorare la sicurezza. Le connessioni saranno eseguite correttamente solo quando la chiave pre-condivisa identica viene specificata su entrambi i siti.
Abilita connessione	Abilita la connessione subito dopo la configurazione. Questa funzione ha effetto solo se abilitata su entrambi i siti.
Abilita convalida DNSSEC	Selezionare questa casella di controllo per proteggere le risoluzioni DNS tramite la convalida DNSSEC (Domain Name System Security Extensions) durante le connessioni Site-to-Site VPN.
Sito locale	IP in uscita: specificare una delle interfacce di rete del Synology Router per configurare il servizio Site-to-Site VPN. ID locale: specificare un ID locale, che può essere un indirizzo IP pubblico o un FQDN (Fully Qualified Domain Name). Subnet privata: specificare la rete locale sotto la subnet privata. Sono mostrati solo oggetti di tipo subnet (definiti nelle impostazioni Oggetto), poiché Site-to-Site VPN non supporta oggetti di tipo intervallo IP.
Sito remoto	Indirizzo IP/FQDN: specificare l'indirizzo IP pubblico del sito remoto o l'FQDN per consentire l'accesso esterno. ID remoto: specificare l'ID remoto, che può essere un indirizzo IP pubblico o un FQDN. Subnet privata: specificare la rete locale sotto la subnet privata del sito remoto.
Dead Peer Detection	Abilitare Dead Peer Detection (DPD) e configurare le relative impostazioni: Posticipo DPD: specificare l'intervallo di tempo tra i pacchetti DPD. Timeout DPD: specificare una soglia di tempo per rilevare la perdita di connessione. Il sito remoto viene considerato disconnesso se non vengono ricevuti pacchetti DPD durante questo periodo.

Nome opzione

Descrizione

Nome profilo

Assegnare un nome a questo profilo.

Chiave pre-condivisa

Specificare la chiave pre-condivisa su entrambi i siti per migliorare la sicurezza. Le connessioni saranno eseguite correttamente solo quando la chiave pre-condivisa identica viene specificata su entrambi i siti.

Abilita connessione

Abilita la connessione subito dopo la configurazione. Questa funzione ha effetto solo se abilitata su entrambi i siti.

Abilita convalida DNSSEC

Selezionare questa casella di controllo per proteggere le risoluzioni DNS tramite la convalida DNSSEC (Domain Name System Security Extensions) durante le connessioni Site-to-Site VPN.

Sito locale

IP in uscita: specificare una delle interfacce di rete del Synology Router per configurare il servizio Site-to-Site VPN.
ID locale: specificare un ID locale, che può essere un indirizzo IP pubblico o un FQDN (Fully Qualified Domain Name).
Subnet privata: specificare la rete locale sotto la subnet privata. Sono mostrati solo oggetti di tipo subnet (definiti nelle impostazioni Oggetto), poiché Site-to-Site VPN non supporta oggetti di tipo intervallo IP.

Sito remoto

Indirizzo IP/FQDN: specificare l'indirizzo IP pubblico del sito remoto o l'FQDN per consentire l'accesso esterno.
ID remoto: specificare l'ID remoto, che può essere un indirizzo IP pubblico o un FQDN.
Subnet privata: specificare la rete locale sotto la subnet privata del sito remoto.

Dead Peer Detection

Abilitare Dead Peer Detection (DPD) e configurare le relative impostazioni:

Posticipo DPD: specificare l'intervallo di tempo tra i pacchetti DPD.
Timeout DPD: specificare una soglia di tempo per rilevare la perdita di connessione. Il sito remoto viene considerato disconnesso se non vengono ricevuti pacchetti DPD durante questo periodo.

Crittografia

Nome opzione	Descrizione
Versione IKE	Selezionare IKEv1 o IKEv2. Entrambi i siti devono avere la stessa versione IKE.
Modalità	Selezionare Modalità principale o Modalità aggressiva. Entrambi i siti devono avere la stessa modalità.
Crittografia	Selezionare uno o più tipi di crittografia AES tra AES256, AES192, AES128 e 3DES. Almeno una selezione deve corrispondere alla crittografia utilizzata dal sito remoto.
Autenticazione	Selezionare uno o più tipi di autenticazione fra SHA-512, SHA-384, SHA-256, SHA1 e MD5. Almeno una delle selezioni deve corrispondere al tipo di autenticazione utilizzato dal sito remoto.
Gruppo DH	Specificare lo stesso gruppo Diffie-Hellman (DH) per entrambi i siti.
Durata chiave	Specificare la durata della validità della chiave in uso. Alla scadenza della chiave, entrambi i siti scambieranno una nuova chiave.
Abilita PFS (Perfect Forward Secrecy)	L'attivazione di quest'opzione potrebbe influire sulle prestazioni ma fornirà maggiore sicurezza.

Nome opzione

Descrizione

Versione IKE

Selezionare IKEv1 o IKEv2. Entrambi i siti devono avere la stessa versione IKE.

Modalità

Selezionare Modalità principale o Modalità aggressiva. Entrambi i siti devono avere la stessa modalità.

Crittografia

Selezionare uno o più tipi di crittografia AES tra AES256, AES192, AES128 e 3DES. Almeno una selezione deve corrispondere alla crittografia utilizzata dal sito remoto.

Autenticazione

Selezionare uno o più tipi di autenticazione fra SHA-512, SHA-384, SHA-256, SHA1 e MD5. Almeno una delle selezioni deve corrispondere al tipo di autenticazione utilizzato dal sito remoto.

Gruppo DH

Specificare lo stesso gruppo Diffie-Hellman (DH) per entrambi i siti.

Durata chiave

Specificare la durata della validità della chiave in uso. Alla scadenza della chiave, entrambi i siti scambieranno una nuova chiave.

Abilita PFS (Perfect Forward Secrecy)

L'attivazione di quest'opzione potrebbe influire sulle prestazioni ma fornirà maggiore sicurezza.

Nota:

Le subnet private di siti locali e remoti non possono sovrapporsi.
Per maggiori informazioni tecniche su Dead Peer Detection, consultare il documento RFC 3706.
Il Synology Router locale che gestisce la connessione Site-to-Site VPN non può accedere alla subnet privata del sito remoto.
Quando si configura manualmente la Site-to-Site VPN tra due dispositivi Synology Router (ad esempio, sito A e sito B), è necessario specificare le informazioni del Sito locale del sito A nella sezione Sito remoto del sito B, e viceversa.
Possono verificarsi errori di connessione se le configurazioni tra i due siti non sono coerenti. Per evitarlo, assicurarsi che entrambi i siti utilizzino la stessa versione di SRM ed esportare la configurazione (cioè il profilo) da un sito per importarla nell'altro.
Per ulteriori informazioni su Site-to-Site VPN:
- Perché non è possibile configurare una connessione Site-to-Site VPN correttamente?
- Perché non è possibile accedere ai dispositivi remoti su Site-to-Site VPN, anche se lo stato della connessione VPN è "Connesso"?