VPN Plus Server

Site-to-Site VPN

El servicio Site-to-Site VPN permite que las redes locales de diferentes ubicaciones físicas se comuniquen de forma segura entre sí a través de Internet. Esta página le guía a través de la configuración de Site-to-Site VPN y de las pestañas General y Cifrado.

Configurar una conexión Site-to-Site VPN

Siga los pasos que se indican a continuación para establecer una conexión Site-to-Site VPN entre un par de dispositivos Synology Router:

Configure un par de dispositivos Synology Router y active la función Site-to-Site VPN en cada dispositivo.

En cualquiera de los dispositivos Synology Router, vaya a VPN Plus Server > Site-to-Site VPN.

Haga clic en Agregar > Manualmente.

Configure los valores en las pestañas General y Cifrado y, a continuación, guarde la configuración.

Haga clic en Exportar perfil para guardar la configuración de VPN en su ordenador.

Inicie sesión en el otro Synology Router y vaya a VPN Plus Server > Site-to-Site VPN.

Haga clic en Agregar > Importar perfil.

Seleccione el perfil exportado del primer Synology Router y guarde la configuración.

Ahora se ha establecido una conexión Site-to-Site VPN entre ambos dispositivos Synology Router.

Nota:

La exportación e importación de perfiles solo está disponible al conectar dispositivos Synology Router entre sí. No puede utilizar esta función al configurar una conexión Site-to-Site VPN con dispositivos compatibles con IPsec de terceros.

General

Nombre de la opción	Descripción
Nombre del perfil	Asigne un nombre a este perfil.
Clave compartida anteriormente	Especifique la clave compartida anteriormente en ambos sitios para mejorar la seguridad. Las conexiones se establecerán correctamente cuando se especifique la misma clave en los dos sitios.
Habilitar esta conexión	Habilite la conexión inmediatamente después de la configuración. Esta función solamente tiene efecto cuando está habilitada en ambos sitios.
Habilitar validación de DNSSEC	Marque esta casilla para proteger las resoluciones de DNS mediante la validación de DNSSEC (extensiones de seguridad del sistema de nombres de dominio) durante las conexiones Site-to-Site VPN.
Sitio local	IP saliente: especifique una de las interfaces de red de su Synology Router para configurar el servicio de Site-to-Site VPN. ID local: especifique un ID local, que puede ser una dirección IP pública o un FQDN (nombre de dominio totalmente cualificado). Subred privada: especifique la red local en la subred privada. Solo se muestran los objetos de tipo subred (definidos en la configuración de Objeto), ya que Site-to-Site VPN no es compatible con objetos de rango de IP.
Sitio remoto	Dirección IP/FQDN: especifique la dirección IP pública o el FQDN del sitio remoto para permitir el acceso externo. ID remota: especifique el ID remoto, que puede ser una dirección IP pública o FQDN. Subred privada: especifique la red local en la subred privada del sitio remoto.
Dead Peer Detection	Habilite Dead Peer Detection (DPD) y configure los ajustes relacionados: Retardo DPD: especifique el intervalo de tiempo entre los paquetes DPD. Tiempo de espera DPD: especifique un umbral de tiempo para detectar la pérdida de conexión. El sitio remoto se considerará desconectado si no se reciben paquetes DPD durante este periodo.

Nombre de la opción

Descripción

Nombre del perfil

Asigne un nombre a este perfil.

Clave compartida anteriormente

Especifique la clave compartida anteriormente en ambos sitios para mejorar la seguridad. Las conexiones se establecerán correctamente cuando se especifique la misma clave en los dos sitios.

Habilitar esta conexión

Habilite la conexión inmediatamente después de la configuración. Esta función solamente tiene efecto cuando está habilitada en ambos sitios.

Habilitar validación de DNSSEC

Marque esta casilla para proteger las resoluciones de DNS mediante la validación de DNSSEC (extensiones de seguridad del sistema de nombres de dominio) durante las conexiones Site-to-Site VPN.

Sitio local

IP saliente: especifique una de las interfaces de red de su Synology Router para configurar el servicio de Site-to-Site VPN.
ID local: especifique un ID local, que puede ser una dirección IP pública o un FQDN (nombre de dominio totalmente cualificado).
Subred privada: especifique la red local en la subred privada. Solo se muestran los objetos de tipo subred (definidos en la configuración de Objeto), ya que Site-to-Site VPN no es compatible con objetos de rango de IP.

Sitio remoto

Dirección IP/FQDN: especifique la dirección IP pública o el FQDN del sitio remoto para permitir el acceso externo.
ID remota: especifique el ID remoto, que puede ser una dirección IP pública o FQDN.
Subred privada: especifique la red local en la subred privada del sitio remoto.

Dead Peer Detection

Habilite Dead Peer Detection (DPD) y configure los ajustes relacionados:

Retardo DPD: especifique el intervalo de tiempo entre los paquetes DPD.
Tiempo de espera DPD: especifique un umbral de tiempo para detectar la pérdida de conexión. El sitio remoto se considerará desconectado si no se reciben paquetes DPD durante este periodo.

Cifrado

Nombre de la opción	Descripción
Versión de IKE	Seleccione IKEv1 o IKEv2. Los dos sitios deben tener la misma versión de IKE.
Modo	Seleccione Modo principal o Modo agresivo. Los dos sitios deben tener el mismo modo.
Cifrado	Seleccione uno o más tipos de cifrado AES de AES256, AES192, AES128 y 3DES. Al menos una selección debe coincidir con el cifrado utilizado por el sitio remoto.
Autenticación	Seleccione uno o varios métodos de autenticación de SHA-512, SHA-384, SHA-256, SHA1 y MD5. Al menos una selección debe coincidir con el método de autenticación utilizado por el sitio remoto.
Grupo de DH	Especifique el mismo grupo de Diffie-Hellman (DH) en ambos sitios.
Ciclo de vida de la clave	Especifique el tiempo de validez de la clave. Cuando caduque, los dos sitios intercambiarán la nueva clave.
Habilitar Confidencialidad directa total (PFS)	Al habilitar esta opción, el rendimiento puede verse afectado ligeramente, aunque disfrutará de mayor seguridad.

Nombre de la opción

Descripción

Versión de IKE

Seleccione IKEv1 o IKEv2. Los dos sitios deben tener la misma versión de IKE.

Modo

Seleccione Modo principal o Modo agresivo. Los dos sitios deben tener el mismo modo.

Cifrado

Seleccione uno o más tipos de cifrado AES de AES256, AES192, AES128 y 3DES. Al menos una selección debe coincidir con el cifrado utilizado por el sitio remoto.

Autenticación

Seleccione uno o varios métodos de autenticación de SHA-512, SHA-384, SHA-256, SHA1 y MD5. Al menos una selección debe coincidir con el método de autenticación utilizado por el sitio remoto.

Grupo de DH

Especifique el mismo grupo de Diffie-Hellman (DH) en ambos sitios.

Ciclo de vida de la clave

Especifique el tiempo de validez de la clave. Cuando caduque, los dos sitios intercambiarán la nueva clave.

Habilitar Confidencialidad directa total (PFS)

Al habilitar esta opción, el rendimiento puede verse afectado ligeramente, aunque disfrutará de mayor seguridad.

Nota:

Las subredes privadas de sitios locales y remotos no pueden solaparse.
Consulte el documento RFC 3706 para obtener más información técnica sobre Dead Peer Detection.
El Synology Router local que gestiona la conexión Site-to-Site VPN no puede acceder a la subred privada del sitio remoto.
Cuando configure manualmente Site-to-Site VPN entre dos dispositivos Synology Router (por ejemplo, el sitio A y el sitio B), debe especificar la información de Sitio local del sitio A en la sección de Sitio remoto del sitio B, y viceversa.
Pueden producirse fallos de conexión si las configuraciones entre los dos sitios no son coherentes. Para evitarlo, asegúrese de que ambos sitios utilicen la misma versión de SRM y exporte la configuración (es decir, el perfil) de un sitio para importarla en el otro.
Para obtener más información sobre Site-to-Site VPN:
- ¿Por qué no puedo configurar correctamente una conexión Site-to-Site VPN?
- ¿Por qué no puedo acceder a dispositivos remotos a través de Site-to-Site VPN incluso aunque el estado de conexión de la VPN sea "Conectado"?