VPN Plus Server

Site-to-Site VPN

Site-to-Site VPN-service stelt lokale netwerken op verschillende fysieke locaties in staat om veilig met elkaar te communiceren via internet. Deze pagina leidt u door de installatie van Site-to-Site VPN en de instellingen op de tabbladen Algemeen en Codering.

Instellen van een Site-to-Site VPN-verbinding

Volg de onderstaande stappen om een Site-to-Site VPN-verbinding tot stand te brengen tussen twee Synology Router-apparaten:

Stel twee Synology Router-apparaten in en activeer de Site-to-Site VPN-functie op elk apparaat.

Ga op een van uw Synology Router-apparaten naar VPN Plus Server > Site-to-Site VPN.

Klik op Toevoegen > Handmatig.

Configureer de instellingen op zowel de tabbladen Algemeen als Codering en sla uw instellingen op.

Klik op Profiel exporteren om de VPN-configuratie op uw computer op te slaan.

Meld u aan bij de andere Synology Router en ga naar VPN Plus Server > Site-to-Site VPN.

Klik op Toevoegen > Profiel importeren.

Selecteer het profiel dat is geëxporteerd van de eerste Synology Router en sla de instellingen op.

Er is nu een Site-to-Site VPN-verbinding tot stand gebracht tussen beide Synology Router-apparaten.

Opmerking:

Profiel exporteren en importeren is alleen beschikbaar bij verbindingen tussen Synology Router-apparaten. U kunt deze functie niet gebruiken bij het instellen van een Site-to-Site VPN-verbinding met IPsec-compatibele apparaten van derden.

Algemeen

Optienaam	Beschrijving
Profielnaam	Geef dit profiel een naam.
Voorafgedeelde sleutel	Specificeer de vooraf gedeelde sleutel op beide sites om de beveiliging te verbeteren. Verbindingen zijn alleen succesvol wanneer op beide sites dezelfde vooraf gedeelde sleutel is opgegeven.
Deze verbinding inschakelen	De verbinding inschakelen direct na de installatie. Deze functie werkt alleen wanneer deze op beide sites is ingeschakeld.
DNSSEC-validatie inschakelen	Selecteer dit selectievakje om DNS-resoluties te beveiligen via DNSSEC-validatie (Domain Name System Security Extensions) tijdens Site-to-Site VPN-verbindingen.
Lokale site	Uitgaande IP: Specificeer een van de netwerkinterfaces op uw Synology Router om de Site-to-Site VPN-service in te stellen. Lokale ID: Specificeer een lokale ID, wat een openbaar IP-adres of een FQDN (Fully Qualified Domain Name) kan zijn. Privésubnetwerk: Specificeer het lokale netwerk onder het privésubnetwerk. Alleen objecten van het type subnet (gedefinieerd in de Object-instellingen) worden weergegeven, omdat Site-to-Site VPN geen IP-bereikobjecten ondersteunt.
Externe site	IP-adres/FQDN: Specificeer het openbare IP-adres of FQDN van de externe site om externe toegang toe te staan. Externe ID: Specificeer de externe ID, wat een openbaar IP-adres of een FQDN kan zijn. Privésubnetwerk: Specificeer het lokale netwerk onder het privésubnetwerk van de externe site.
Dead Peer Detection	Schakel Dead Peer Detection (DPD) in en configureer de bijbehorende instellingen: DPD-vertraging: Geef het tijdsinterval op tussen DPD-pakketten. DPD-time-out: Geef een tijddrempel op om verbindingsverlies te detecteren. De externe site wordt als losgekoppeld beschouwd als er gedurende deze periode geen DPD-pakketten worden ontvangen.

Optienaam

Beschrijving

Profielnaam

Geef dit profiel een naam.

Voorafgedeelde sleutel

Specificeer de vooraf gedeelde sleutel op beide sites om de beveiliging te verbeteren. Verbindingen zijn alleen succesvol wanneer op beide sites dezelfde vooraf gedeelde sleutel is opgegeven.

Deze verbinding inschakelen

De verbinding inschakelen direct na de installatie. Deze functie werkt alleen wanneer deze op beide sites is ingeschakeld.

DNSSEC-validatie inschakelen

Selecteer dit selectievakje om DNS-resoluties te beveiligen via DNSSEC-validatie (Domain Name System Security Extensions) tijdens Site-to-Site VPN-verbindingen.

Lokale site

Uitgaande IP: Specificeer een van de netwerkinterfaces op uw Synology Router om de Site-to-Site VPN-service in te stellen.
Lokale ID: Specificeer een lokale ID, wat een openbaar IP-adres of een FQDN (Fully Qualified Domain Name) kan zijn.
Privésubnetwerk: Specificeer het lokale netwerk onder het privésubnetwerk. Alleen objecten van het type subnet (gedefinieerd in de Object-instellingen) worden weergegeven, omdat Site-to-Site VPN geen IP-bereikobjecten ondersteunt.

Externe site

IP-adres/FQDN: Specificeer het openbare IP-adres of FQDN van de externe site om externe toegang toe te staan.
Externe ID: Specificeer de externe ID, wat een openbaar IP-adres of een FQDN kan zijn.
Privésubnetwerk: Specificeer het lokale netwerk onder het privésubnetwerk van de externe site.

Dead Peer Detection

Schakel Dead Peer Detection (DPD) in en configureer de bijbehorende instellingen:

DPD-vertraging: Geef het tijdsinterval op tussen DPD-pakketten.
DPD-time-out: Geef een tijddrempel op om verbindingsverlies te detecteren. De externe site wordt als losgekoppeld beschouwd als er gedurende deze periode geen DPD-pakketten worden ontvangen.

Codering

Optienaam	Beschrijving
IKE-versie	Selecteer IKEv1 of IKEv2. Beide sites moeten dezelfde IKE-versie hebben.
Modus	Selecteer Hoofdmodus of Agressieve modus. Beide sites moeten dezelfde modus hebben.
Codering	Selecteer een of meer typen AES-codering uit AES256, AES192, AES128 en 3DES. Minstens één selectie moet overeenkomen met de codering die door de externe site wordt gebruikt.
Authenticatie	Selecteer een of meer verificatietypes uit SHA-512, SHA-384, SHA-256, SHA1 en MD5. Minstens één selectie moet overeenkomen met het verificatietype dat door de externe site wordt gebruikt.
DH groep	Specificeer dezelfde Diffie-Hellman (DH) groep voor beide sites.
Sleutellevensduur	Specificeer de geldigheid van uw sleutel. Zodra de sleutel vervalt, zullen beide sites een nieuwe sleutel uitwisselen.
Perfect Forward Secrecy (PFS) inschakelen	Het inschakelen van deze optie kan de prestaties enigszins beïnvloeden, maar verbetert de beveiliging.

Optienaam

Beschrijving

IKE-versie

Selecteer IKEv1 of IKEv2. Beide sites moeten dezelfde IKE-versie hebben.

Modus

Selecteer Hoofdmodus of Agressieve modus. Beide sites moeten dezelfde modus hebben.

Codering

Selecteer een of meer typen AES-codering uit AES256, AES192, AES128 en 3DES. Minstens één selectie moet overeenkomen met de codering die door de externe site wordt gebruikt.

Authenticatie

Selecteer een of meer verificatietypes uit SHA-512, SHA-384, SHA-256, SHA1 en MD5. Minstens één selectie moet overeenkomen met het verificatietype dat door de externe site wordt gebruikt.

DH groep

Specificeer dezelfde Diffie-Hellman (DH) groep voor beide sites.

Sleutellevensduur

Specificeer de geldigheid van uw sleutel. Zodra de sleutel vervalt, zullen beide sites een nieuwe sleutel uitwisselen.

Perfect Forward Secrecy (PFS) inschakelen

Het inschakelen van deze optie kan de prestaties enigszins beïnvloeden, maar verbetert de beveiliging.

Opmerking:

De privésubnetwerken van lokale en externe sites mogen elkaar niet overlappen.
Raadpleeg het RFC 3706-document voor meer technische informatie over Dead Peer Detection.
De lokale Synology Router die de Site-to-Site VPN-verbinding beheert, heeft geen toegang tot het privénetwerk van de externe site.
Wanneer u Site-to-Site VPN handmatig configureert tussen twee Synology Router-apparaten (bijv. site A en site B), moet u de Lokale site-informatie van site A opgeven in het gedeelte Externe site van site B, en omgekeerd.
Verbindingsfouten kunnen optreden als de configuraties tussen de twee sites inconsistent zijn. Om dit te voorkomen, zorgt u ervoor dat beide sites dezelfde SRM-versie gebruiken en exporteert u de configuratie (d.w.z. het profiel) op de ene site om deze op de andere te importeren.
Voor meer informatie over Site-to-Site VPN:
- Waarom slaag ik er niet in om een Site-to-Site VPN-verbinding in te stellen?
- Waarom heb ik via Site-to-Site VPN geen toegang tot externe apparaten, zelfs wanneer de VPN-verbinding de status "Verbonden" heeft?