Site-to-Site VPN
Site-to-Site VPN サービスは、さまざまな物理的場所にあるローカル ネットワークがインターネット上でお互いに安全な接続を確立することを許可します。このページは、Site-to-Site VPN と設定を [全般] と [暗号化] のタブで行うことについてガイドします。
Site-to-Site VPN 接続のセットアップ
下記のステップに従ってペアの Synology Router 間に Site-to-Site VPN 接続を確立します。
- ペアの Synology Router をセットアップして、SRM 上でSite-to-Site VPN 機能を有効化します (ライセンシング プランの詳細情報はこのウェブ ページを参照してください) 。
- いずれかの Synology Router 上で、[VPN Plus Server] > [Site-to-Site VPN] の順に進みます。
- [追加] > [手動] をクリックしてください。
- [全般]と[暗号化]のタブで設定を構成し、次に設定を保存してください。
- [プロファイルをエクスポート] をクリックして、VPN の構成をコンピュータにエクスポートします。
- 他方の Synology Router 上で、[VPN Plus Server] > [Site-to-Site VPN] の順に進みます。
- [追加] > [プロファイルをインポート] をクリックしてください。
- 前の Synology Router からエクスポートしたばかりのプロファイルを選択して、設定を保存してください。
- これで、2 つのデバイス間で Site-to-Site VPN 接続がセットアップされました。
注:
- Site-to-Site VPN tunnel を設定する別の IPSec 対応デバイスが Synology Router でない場合は、プロファイルのエクスポート/インポートは利用できません。
全般
- プロファイル名:このプロファイルに名前を付けます。
- 事前共有キー:事前共有キーを両方のサイトで指定してセキュリティを高めます。同一の事前共有キーが両サイトで指定された場合にのみ接続は成功します。
- この接続を有効にする:このチェックボックスにチェックを入れて、セットアップ後すぐに接続を開始してください。この機能は、両方のサイトで有効化された場合にのみ有効になります。
- DNSSEC 検証を有効にする:このチェックボックスをチェックして、Site-to-Site VPN 接続で DNSSEC (Domain Name System Security Extensions) 検証経由で DNS 解決を可能にします。
- ローカル サイト:
- アウトバウンド IP:Synology Router でネットワーク インターフェイスのうちの1つを指定し、Site-to-Site VPN サービスをセットアップします。
- ローカル ID:ローカル ID を指定します。これはパブリック IP アドレスまたは FQDN (Fully Qualified Domain Name) のいずれかになります。
- プライベート サブネット:プライベート サブネット下のローカル ネットワークを指定します。
注:このドロップダウン メニューのオプションは、オブジェクトで定義されています。IP の範囲のタイプにおけるアドレス プールのオブジェクトは Site-to-Site VPN でサポートされていません。ドロップダウン リストで [サブネット] タイプのオブジェクトのみを表示できます。
- リモート サイト:
- IP アドレス/FQDN:リモート サイトのパブリック IP アドレスまたは FQDN を記入して外部アクセスを可能にします。
- リモート ID:リモート ID を指定します。これはパブリック IP アドレスまたは FQDN のいずれかになります。
- プライベート サブネット:リモート サイトのプライベート サブネット下にあるローカル ネットワークを指定します。
- Dead Peer Detection:
- 有効:チェックボックスにチェックを入れて Dead Peer Detection (DPD) を有効にします。
- DPD 遅延:DPD パケット間の時間間隔を指定します。
- DPD タイムアウト:時間しきい値を指定します。このオプションは、ローカルサイトの Synology Router が DPD パケットを時間しきい値以上の長い期間受信しない場合にリモートサイトからの接続の損失を検出出来る様にします。
- 有効:チェックボックスにチェックを入れて Dead Peer Detection (DPD) を有効にします。
注:
- ローカル サイトとリモート サイトのプライベート サブネットはオーバーラップできません。
- Dead Peer Detection の技術的な詳細情報はRFC 3706ドキュメントをお読みください。
- ローカルサイトの Site-to-Site VPN 接続用 Synology Router サービスは、リモートサイトのプライベートとサブネットにアクセスできません。
- Site-to-Site VPN の設定が Synology Router のペア間 (例えば、サイト A とサイト B) で手動で構成された場合、1 つのデバイス (例えば、サイト A) の [ローカル サイト] セクションは他方のデバイス (例えば、サイト B) の [リモート サイト] 下に入る必要があります。また、その逆も同様です。
- Site-to-Site VPN に関してよくある質問:
暗号化
- IKE バージョン:IKEv1 または IKEv2 を選択します。両方のサイトが同じ IKE バージョンを持っていなければなりません。
- モード:[Main Mode] または [Aggressive Mode] を選択します。両方のサイトが同じモードを持っていなければなりません。
- 暗号化:AES256、AES192、AES128、および 3DES から AES 暗号化タイプを 1 つ以上選択します。リモートサイトで採用されている暗号化タイプを少なくとも1つ選択する必要があります。
- 認証:SHA-512、SHA-384、SHA-256、SHA1、MD5 から認証タイプを 1 つ以上選択します。リモートサイトで採用されている認証タイプを少なくとも1つ選択する必要があります。
- DH グループ:同じ Diffie-Hellman (DH) グループを両方のサイトに指定します。
- キーの有効期間:キーの有効期間を指定します。キーの有効機関が終了すると、両方のサイトが新しいキーを交換します。
- Perfect Forward Secrecy (PFS) を有効にする:このオプションを有効にすると、パフォーマンスにわずかに影響が出ることがありますが、セキュリティは強化されます。
注:
- 2つのサイトの構成に不一致があると、接続エラーが生じることがあります。片方のサイトから構成(プロファイルなど)をエクスポートして、もう一方のサイトにインポートすることをお勧めします。それを行う場合、セットアップを活用すれば、接続エラーを回避できます。
Site-to-Site VPN 接続のセットアップ
全般
暗号化