VPN Plus Server

Site-to-Site VPN

Usługa Site-to-Site VPN umożliwia sieciom lokalnym znajdującym się w różnych lokalizacjach fizycznych bezpieczną komunikację między sobą za pośrednictwem Internetu. Na tej stronie znajdują się instrukcje dotyczące konfiguracji usługi Site-to-Site VPN oraz ustawień na kartach Ogólne i Szyfrowanie.

Konfigurowanie połączenia Site-to-Site VPN

Wykonaj poniższe czynności, aby nawiązać połączenie Site-to-Site VPN między dwoma urządzeniami Synology Router:

Skonfiguruj parę urządzeń Synology Router i aktywuj funkcję Site-to-Site VPN na każdym z nich.

Na dowolnym z urządzeń Synology Router wybierz opcję VPN Plus Server > Site-to-Site VPN.

Kliknij Dodaj > Ręcznie.

Skonfiguruj ustawienia na kartach Ogólne i Szyfrowanie, a następnie zapisz ustawienia.

Kliknij Eksportuj profil, aby zapisać konfigurację VPN na komputerze.

Zaloguj się do drugiego urządzenia Synology Router i wybierz VPN Plus Server > Site-to-Site VPN.

Kliknij Dodaj > Importuj profil.

Wybierz profil wyeksportowany z pierwszego urządzenia Synology Router i zapisz ustawienia.

Połączenie Site-to-Site VPN między dwoma urządzeniami Synology Router zostało nawiązane.

Uwaga:

Eksport i import profilu są dostępne tylko podczas połączenia między urządzeniami Synology Router. Nie można korzystać z tej funkcji podczas konfigurowania połączenia Site-to-Site VPN z urządzeniami innych producentów zgodnymi z IPsec.

Ogólne

Nazwa opcji	Opis
Nazwa profilu	Nazwij ten profil.
Klucz wstępny	Określ klucz wstępny w obu lokalizacjach, aby zwiększyć bezpieczeństwo. Połączenie będzie możliwe tylko wtedy, gdy w obu lokalizacjach zostanie podany identyczny klucz wstępny.
Włącz to połączenie	Włącz połączenie od razu po zakończeniu konfiguracji. Funkcja ta działa tylko wtedy, gdy jest włączona w obu lokalizacjach.
Włącz weryfikację DNSSEC	Zaznacz to pole wyboru, aby zabezpieczyć rozpoznawanie DNS przez DNSSEC (Domain Name System Security Extensions) podczas połączeń Site-to-Site VPN.
Lokalizacja lokalna	Wychodzący adres IP: Wskaż jeden z interfejsów sieciowych urządzenia Synology Router, aby skonfigurować usługę Site-to-Site VPN. Identyfikator lokalny: Określ identyfikator lokalny, którym może być publiczny adres IP lub FQDN (Fully Qualified Domain Name). Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci. Wyświetlane są tylko obiekty typu podsieć (zdefiniowane w ustawieniach Obiekt), ponieważ Site-to-Site VPN nie obsługuje obiektów typu zakres IP.
Lokalizacja zdalna	Adres IP/FQDN: Wprowadź publiczny adres IP lub FQDN lokalizacji zdalnej, aby umożliwić dostęp zewnętrzny. Identyfikator zdalny: Określ identyfikator zdalny, którym może być publiczny adres IP lub FQDN. Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci lokalizacji zdalnej.
Dead Peer Detection	Włącz funkcję Dead Peer Detection (DPD) i skonfiguruj powiązane ustawienia: Opóźnienie DPD: Określ odstęp czasowy między pakietami DPD. Limit czasu DPD: Określ próg czasu do wykrycia utraty połączenia. Lokalizacja zdalna jest uznawana za rozłączoną, jeśli w tym okresie nie zostaną odebrane żadne pakiety DPD.

Nazwa opcji

Opis

Nazwa profilu

Nazwij ten profil.

Klucz wstępny

Określ klucz wstępny w obu lokalizacjach, aby zwiększyć bezpieczeństwo. Połączenie będzie możliwe tylko wtedy, gdy w obu lokalizacjach zostanie podany identyczny klucz wstępny.

Włącz to połączenie

Włącz połączenie od razu po zakończeniu konfiguracji. Funkcja ta działa tylko wtedy, gdy jest włączona w obu lokalizacjach.

Włącz weryfikację DNSSEC

Zaznacz to pole wyboru, aby zabezpieczyć rozpoznawanie DNS przez DNSSEC (Domain Name System Security Extensions) podczas połączeń Site-to-Site VPN.

Lokalizacja lokalna

Wychodzący adres IP: Wskaż jeden z interfejsów sieciowych urządzenia Synology Router, aby skonfigurować usługę Site-to-Site VPN.
Identyfikator lokalny: Określ identyfikator lokalny, którym może być publiczny adres IP lub FQDN (Fully Qualified Domain Name).
Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci. Wyświetlane są tylko obiekty typu podsieć (zdefiniowane w ustawieniach Obiekt), ponieważ Site-to-Site VPN nie obsługuje obiektów typu zakres IP.

Lokalizacja zdalna

Adres IP/FQDN: Wprowadź publiczny adres IP lub FQDN lokalizacji zdalnej, aby umożliwić dostęp zewnętrzny.
Identyfikator zdalny: Określ identyfikator zdalny, którym może być publiczny adres IP lub FQDN.
Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci lokalizacji zdalnej.

Dead Peer Detection

Włącz funkcję Dead Peer Detection (DPD) i skonfiguruj powiązane ustawienia:

Opóźnienie DPD: Określ odstęp czasowy między pakietami DPD.
Limit czasu DPD: Określ próg czasu do wykrycia utraty połączenia. Lokalizacja zdalna jest uznawana za rozłączoną, jeśli w tym okresie nie zostaną odebrane żadne pakiety DPD.

Szyfrowanie

Nazwa opcji	Opis
Wersja IKE	Wybierz IKEv1 lub IKEv2. Obie lokalizacje muszą korzystać z tej samej wersji IKE.
Tryb	Wybierz Tryb główny lub Tryb agresywny. Obie lokalizacje muszą korzystać z tego samego trybu.
Szyfrowanie	Wybierz jeden lub więcej typów szyfrowania AES spośród AES256, AES192, AES128 i 3DES. Przynajmniej jeden wybrany typ musi być zgodny z szyfrowaniem używanym przez lokalizację zdalną.
Uwierzytelnianie	Wybierz jeden lub więcej typów uwierzytelniania spośród SHA-512, SHA-384, SHA-256, SHA1 i MD5. Przynajmniej jeden z wybranych typów musi odpowiadać typowi uwierzytelniania używanemu przez lokalizację zdalną.
Grupa DH	Określ tę samą grupę DH (Diffie-Hellman) dla obu lokalizacji.
Czas życia klucza	Określ okres ważności klucza. Po wygaśnięciu klucza obie lokalizacje wymienią się nowym kluczem.
Włącz Perfect Forward Secrecy (PFS)	Włączenie tej opcji może nieznacznie wpłynąć na wydajność, lecz zwiększy bezpieczeństwo.

Nazwa opcji

Opis

Wersja IKE

Wybierz IKEv1 lub IKEv2. Obie lokalizacje muszą korzystać z tej samej wersji IKE.

Tryb

Wybierz Tryb główny lub Tryb agresywny. Obie lokalizacje muszą korzystać z tego samego trybu.

Szyfrowanie

Wybierz jeden lub więcej typów szyfrowania AES spośród AES256, AES192, AES128 i 3DES. Przynajmniej jeden wybrany typ musi być zgodny z szyfrowaniem używanym przez lokalizację zdalną.

Uwierzytelnianie

Wybierz jeden lub więcej typów uwierzytelniania spośród SHA-512, SHA-384, SHA-256, SHA1 i MD5. Przynajmniej jeden z wybranych typów musi odpowiadać typowi uwierzytelniania używanemu przez lokalizację zdalną.

Grupa DH

Określ tę samą grupę DH (Diffie-Hellman) dla obu lokalizacji.

Czas życia klucza

Określ okres ważności klucza. Po wygaśnięciu klucza obie lokalizacje wymienią się nowym kluczem.

Włącz Perfect Forward Secrecy (PFS)

Włączenie tej opcji może nieznacznie wpłynąć na wydajność, lecz zwiększy bezpieczeństwo.

Uwaga:

Prywatne podsieci lokalnych i zdalnych lokalizacji nie mogą na siebie nachodzić.
Aby uzyskać więcej informacji technicznych na temat funkcji Dead Peer Detection, zapoznaj się z dokumentem RFC 3706.
Lokalny Synology Router obsługujący połączenie Site-to-Site VPN nie może uzyskać dostępu do prywatnej podsieci lokalizacji zdalnej.
Podczas ręcznej konfiguracji Site-to-Site VPN między dwoma urządzeniami Synology Router (np. lokalizacja A i B), należy podać informacje o Lokalizacji lokalnej lokalizacji A w sekcji Lokalizacja zdalna urządzenia B i odwrotnie.
Niepowodzenia połączenia mogą wystąpić, jeśli konfiguracje obu lokalizacji są niespójne. Aby temu zapobiec, upewnij się, że obie lokalizacje korzystają z tej samej wersji SRM oraz wyeksportuj konfigurację (tj. profil) z jednej lokalizacji i zaimportuj ją do drugiej.
Aby uzyskać więcej informacji o Site-to-Site VPN:
- Dlaczego nie można pomyślnie skonfigurować połączenia Site-to-Site VPN?
- Dlaczego nie mogę uzyskać dostępu do urządzeń zdalnych za pośrednictwem Site-to-Site VPN, nawet jeśli stan połączenia VPN to „Połączono”?