VPN Plus Server

Site-to-Site VPN

Служба Site-to-Site VPN позволяет локальным сетям, находящимся в разных местах, безопасно подключаться друг к другу через Интернет. На этой странице приведены инструкции по настройке Site-to-Site VPN и настройкам на вкладках Общие и Шифрование.

Настройка подключения Site-to-Site VPN

Выполните следующие действия, чтобы установить подключение Site-to-Site VPN между двумя устройствами Synology Router:

Настройте два устройства Synology Router и активируйте функцию Site-to-Site VPN на каждом устройстве.

На любом из устройств Synology Router выберите VPN Plus Server > Site-to-Site VPN.

Нажмите Добавить > Вручную.

Настройте параметры на вкладках Общие и Шифрование, а затем сохраните настройки.

Нажмите Экспорт профиля, чтобы сохранить конфигурацию VPN на компьютер.

Войдите на другое устройство Synology Router и выберите VPN Plus Server > Site-to-Site VPN.

Нажмите Добавить > Импорт профиля.

Выберите профиль, экспортированный с первого устройства Synology Router, и сохраните настройки.

Подключение Site-to-Site VPN теперь установлено между двумя устройствами Synology Router.

Примечание:

Экспорт и импорт профиля доступны только при подключении между устройствами Synology Router. Вы не можете использовать эту функцию при настройке подключения Site-to-Site VPN с устройствами сторонних производителей, совместимыми с IPsec.

Общие

Имя параметра	Описание
Имя профиля	Назначить имя профилю.
Предварительно выданный ключ	Укажите предварительно выданный ключ для обоих объектов для повышения уровня безопасности. Подключения будут успешно установлены, только если идентичные предварительно выданные ключи указаны на обоих объектах.
Разрешить данное подключение	Разрешить данное подключение сразу после завершения настройки. Эта функция запускается, только если она включена на обоих объектах.
Включить проверку DNSSEC	Установите этот флажок, чтобы обеспечить безопасность разрешений DNS с помощью проверки DNSSEC (Domain Name System Security Extensions, расширения безопасности службы доменных имен) во время подключений Site-to-Site VPN.
Локальный объект	Исходящий IP-адрес. Укажите один из сетевых интерфейсов Synology Router для настройки службы Site-to-Site VPN. Локальный ID. Укажите локальный ИД (публичный IP-адрес или FQDN (полное доменное имя)). Частная подсеть. Укажите локальную сеть в частной подсети. В списке отображаются только объекты типа «Подсеть» (определены в настройках Объект), так как Site-to-Site VPN не поддерживает объекты типа «Диапазон IP-адресов».
Удаленный объект	IP-адрес/FQDN. Введите публичный IP-адрес или FQDN удаленного объекта для разрешения внешнего доступа. Удаленный ID. Укажите удаленный ИД (публичный IP-адрес или FQDN). Частная подсеть. Укажите локальную сеть в частной подсети удаленного объекта.
Обнаружение неработающих пиров Dead Peer Detection	Включите обнаружение неработающих пиров Dead Peer Detection (DPD) и настройте соответствующие параметры: Задержка DPD. Укажите временной интервал между пакетами DPD. Истекло время ожидания DPD. Укажите пороговое значение времени для обнаружения потери соединения. Удаленный объект считается отключенным, если за этот период не получено ни одного пакета DPD.

Имя параметра

Описание

Имя профиля

Назначить имя профилю.

Предварительно выданный ключ

Укажите предварительно выданный ключ для обоих объектов для повышения уровня безопасности. Подключения будут успешно установлены, только если идентичные предварительно выданные ключи указаны на обоих объектах.

Разрешить данное подключение

Разрешить данное подключение сразу после завершения настройки. Эта функция запускается, только если она включена на обоих объектах.

Включить проверку DNSSEC

Установите этот флажок, чтобы обеспечить безопасность разрешений DNS с помощью проверки DNSSEC (Domain Name System Security Extensions, расширения безопасности службы доменных имен) во время подключений Site-to-Site VPN.

Локальный объект

Исходящий IP-адрес. Укажите один из сетевых интерфейсов Synology Router для настройки службы Site-to-Site VPN.
Локальный ID. Укажите локальный ИД (публичный IP-адрес или FQDN (полное доменное имя)).
Частная подсеть. Укажите локальную сеть в частной подсети. В списке отображаются только объекты типа «Подсеть» (определены в настройках Объект), так как Site-to-Site VPN не поддерживает объекты типа «Диапазон IP-адресов».

Удаленный объект

IP-адрес/FQDN. Введите публичный IP-адрес или FQDN удаленного объекта для разрешения внешнего доступа.
Удаленный ID. Укажите удаленный ИД (публичный IP-адрес или FQDN).
Частная подсеть. Укажите локальную сеть в частной подсети удаленного объекта.

Обнаружение неработающих пиров Dead Peer Detection

Включите обнаружение неработающих пиров Dead Peer Detection (DPD) и настройте соответствующие параметры:

Задержка DPD. Укажите временной интервал между пакетами DPD.
Истекло время ожидания DPD. Укажите пороговое значение времени для обнаружения потери соединения. Удаленный объект считается отключенным, если за этот период не получено ни одного пакета DPD.

Шифрование

Имя параметра	Описание
Версия IKE	Выберите IKEv1 или IKEv2. Оба объекта должны использовать одинаковую версию IKE.
Режим	Выберите Главный режим или Агрессивный режим. Оба объекта должны использовать одинаковый режим.
Шифрование	Выберите один или несколько типов шифрования AES: AES256, AES192, AES128 и 3DES. Необходимо выбрать не менее одного типа шифрования, который также допустим на удаленном объекте.
Аутентификация	Выберите один или несколько типов аутентификации: SHA-512, SHA-384, SHA-256, SHA1 и MD5. По крайней мере один выбранный тип должен совпадать с типом аутентификации, используемым на удаленном объекте.
Группа DH	Укажите одинаковую группу DH (Diffie-Hellman) для обоих объектов.
Срок действия ключа	Укажите срок действия ключа. После истечения срока действия ключа оба объекта получат новый ключ.
Включить безопасную пересылку (PFS)	Включение этого параметра может незначительно повлиять на производительность, но уровень безопасности будет повышен.

Имя параметра

Описание

Версия IKE

Выберите IKEv1 или IKEv2. Оба объекта должны использовать одинаковую версию IKE.

Режим

Выберите Главный режим или Агрессивный режим. Оба объекта должны использовать одинаковый режим.

Шифрование

Выберите один или несколько типов шифрования AES: AES256, AES192, AES128 и 3DES. Необходимо выбрать не менее одного типа шифрования, который также допустим на удаленном объекте.

Аутентификация

Выберите один или несколько типов аутентификации: SHA-512, SHA-384, SHA-256, SHA1 и MD5. По крайней мере один выбранный тип должен совпадать с типом аутентификации, используемым на удаленном объекте.

Группа DH

Укажите одинаковую группу DH (Diffie-Hellman) для обоих объектов.

Срок действия ключа

Укажите срок действия ключа. После истечения срока действия ключа оба объекта получат новый ключ.

Включить безопасную пересылку (PFS)

Включение этого параметра может незначительно повлиять на производительность, но уровень безопасности будет повышен.

Примечание:

Частные подсети локальных и удаленных объектов не должны пересекаться.
См. документ RFC 3706 для получения дополнительных технических сведений об обнаружении неработающих пиров Dead Peer Detection.
Локальный Synology Router, обслуживающий подключение Site-to-Site VPN, не имеет доступа к частной подсети удаленного объекта.
Если настройки Site-to-Site VPN настраиваются вручную между двумя устройствами Synology Router (например, объектом A и объектом B), необходимо указать информацию Локального объекта сайта A в разделе Удаленный объект сайта B и наоборот.
Сбои подключения могут возникнуть, если конфигурации двух объектов не совпадают. Чтобы этого избежать, убедитесь, что на обоих объектах используется одна и та же версия SRM, и экспортируйте конфигурацию (т. е. профиль) с одного объекта для импорта на другой.
Дополнительная информация о Site-to-Site VPN:
- Почему не удается настроить подключение Site-to-Site VPN?
- Почему не удается получить доступ к удаленным устройствам через Site-to-Site VPN, даже если состояние подключения VPN «Подключено»?