Knowledge Center

Non è possibile configurare una connessione Site-to-Site VPN. Cosa posso fare?

Ultimo aggiornamento:12 mar 2024

Non è possibile configurare una connessione Site-to-Site VPN. Cosa posso fare?

Alcuni articoli sono stati tradotti dall’inglese con strumenti meccanici e possono contenere imprecisioni oppure errori di grammatica.

Sintomi

È stata configurata una Site-to-Site VPN tramite VPN Plus Server , ma lo stato mostra costantemente la connessione invece di connesso .

Soluzione

  1. Configurare le regole di inoltro porta

    Le porte 500 e 4500 (per il protocollo IPSec) devono essere aperte su entrambi i dispositivi Synology Router per consentire il funzionamento del servizio Site-to-Site VPN. Se un Synology Router si trova dietro un dispositivo NAT (es. router o switch), sono necessarie le regole di inoltro porta per inoltrare i pacchetti dal dispositivo NAT a Synology Router.

    Se il dispositivo NAT è anche un Synology Router, consultare questo articolo per istruzioni dettagliate sulla configurazione delle regole di inoltro porta.

  2. Confermare che il servizio VPN non sia inoltrato ai client

    Possono verificarsi problemi di connessione se una delle seguenti impostazioni è in uso:

    • Synology Router presenta regole di inoltro porta configurate per instradare i pacchetti alle porte 500 o 4500 dei client di rete.
    • Synology Router ha DMZ abilitato e l'host DMZ è assegnato a un client di rete.
    • Uno o più client di rete hanno UPnP (Universal Plug and Play) abilitato, che inoltrerà automaticamente i pacchetti del router alla porta 500 o 4500.

    Per risolvere i problemi di connessione:

    • Andare su SRM > Centro connessioni di rete > Inoltro porta > Inoltro porta ed eliminare le regole di inoltro porta nei dispositivi Synology Router .
    • Andare su SRM > Centro connessioni di rete > Inoltro porta > DMZ e disabilitare DMZ nei dispositivi Synology Router .
    • Disabilitare UPnP sui client di rete.

    3. 1.png

  3. Aggiungere una regola firewall

    Per garantire la connettività Site-to-Site VPN, verificare che il firewall non stia bloccando la connessione VPN, in particolare se l'opzione Se il traffico da WAN-a- SRM IPv4/IPv6 non corrisponde ad alcuna regola è impostata su Nega . Per consentire le connessioni ai dispositivi Synology Router attraverso il tunnel Site-to-Site VPN, procedere come segue per aggiungere una regola firewall:

    1. Andare su SRM > Centro connessioni di rete > Sicurezza > Firewall .
    2. Fare clic su Crea .
    3. Nella sezione Nome , inserire un nome per la regola firewall.
    4. Nella sezione Protocollo , selezionare UDP .
    5. Nella sezione Origine , selezionare Tutto per Indirizzo IP e Porte .
    6. Nella sezione Destinazione , selezionare le seguenti opzioni:
      • Indirizzo IP : selezionare SRM .
      • Porte : selezionare Seleziona da un elenco di applicazioni integrate , fare clic su Seleziona e spuntare VPN Plus Server (IPsec) .
    7. Nella sezione Azione , selezionare Consenti .
    8. Fare clic su OK , quindi su Salva per terminare.

    Per istruzioni dettagliate sulle configurazioni firewall su SRM, consultare questo articolo .

    2.png

  4. Verificare la funzionalità DNS se si utilizza DDNS per configurare VPN

    VPN Plus Server consente di utilizzare Synology DDNS (Dynamic Domain Name Service) per identificare le posizioni dei dispositivi Synology Router (utilizzando l' ID locale e l'ID remoto ) durante la configurazione Site-to-Site VPN. Se si utilizza DDNS ma si verificano problemi di connessione Site-to-Site VPN, procedere come segue:

    • Se si utilizzano entrambe le configurazioni DDNS e IPv6 per Site-to-Site VPN su qualsiasi dispositivo Synology Router , disabilitare temporaneamente IPv6 andando su SRM > Centro connessioni di rete > Rete locale > IPv6 . Quindi, riconfigurare Site-to-Site VPN e riprovare a eseguire la connessione.
    • Provare a connettere i dispositivi Synology Router utilizzando i relativi indirizzi IP esterni (es. 210.61.203.200) e DDNS durante la configurazione di Site-to-Site VPN. Se la connessione tramite l'indirizzo IP esterno funziona correttamente ma il DDNS non funziona, provare a utilizzare il DNS di Google "8.8.8.8" come server DNS preferito. Per configurare il server DNS, andare su SRM > Centro connessioni di rete > Internet > Connessione su entrambi i dispositivi Synology Router , quindi configurare di nuovo Site-to-Site VPN.

  5. Verificare che Site-to-Site e VPN L2TP utilizzino chiavi pre-condivise diverse

    Per configurare Site-to-Site VPN e L2TP VPN su Synology Router, è necessario il protocollo IPsec. Evitare di utilizzare la stessa chiave pre-condivisa (PSK) per entrambi i tipi di connessione VPN.

  6. Inserire le informazioni corrette durante la configurazione

    Verificare che le informazioni inserite per la configurazione Site-to-Site VPN siano accurate e coerenti su entrambi i dispositivi Synology Router . Se lo stato rimane " Connessione in corso " invece di " Connesso " dopo la configurazione, rivedere le informazioni di configurazione e riconfigurare Site-to-Site VPN.

  7. Verificare che le subnet VPN di entrambi i siti non si sovrappongano

    Verificare che le subnet VPN su entrambi i siti non si sovrappongano fra loro.

    Se la rete Site-to-Site VPN è stata configurata correttamente dopo avere seguito tutti i passaggi precedenti, ma non è ancora possibile eseguire il ping dei dispositivi distribuiti nella rete locale dell'altro sito, consultare questo articolo per ulteriori informazioni.

Sintomi
Soluzione
Configurare le regole di inoltro porta
Confermare che il servizio VPN non sia inoltrato ai client
Aggiungere una regola firewall
Verificare la funzionalità DNS se si utilizza DDNS per configurare VPN
Verificare che Site-to-Site e VPN L2TP utilizzino chiavi pre-condivise diverse
Inserire le informazioni corrette durante la configurazione
Verificare che le subnet VPN di entrambi i siti non si sovrappongano