VPN Plus Serverを介して Site-to-Site VPN をセットアップしましたが、ステータスが常に [接続済み] ではなく [接続中] と表示されます。

1. ポート転送規則を構成

   Site-to-Site VPN サービスを機能させるには、ポート 500 と 4500 (IPSec プロトコル用) が両方のSynology Routerデバイスで開かれている必要があります。 Synology Routerが NAT デバイス (ルーターやスイッチなど) の背後にある場合、パケットを NAT デバイスからSynology Routerに転送するにはポート転送規則が必要です。

   NAT デバイスがSynology Routerでもある場合、ポート転送規則の構成に関する詳細な手順については、 この記事を参照してください。

2. VPN サービスがクライアントに転送されていないことを確認する

   次の設定のいずれかが使用されている場合は、接続の問題が発生する可能性があります。

   • Synology Routerには、パケットをネットワーク クライアントのポート 500 または 4500 にルーティングするように構成されたポート転送規則があります。
   • Synology RouterでDMZが有効化されており、 DMZホストがネットワーク クライアントに割り当てられている。
   • 1つまたは複数のネットワーク クライアントがUPnP (ユニバーサル プラグ アンド プレイ) を有効にしており、ルーター パケットを自動的にポート 500 または 4500 に転送します。

   接続の問題をトラブルシューティングする

   • [ SRM] > [ネットワーク センター] > [ポート フォワーディング] > [ポートフォワーディング] の順に進み、 Synology Routerデバイスのポート フォワーディング ルールを削除します。
   • [ SRM] > [ネットワーク センター] > [ポート転送] > [ DMZ ] の順に進み、 Synology RouterデバイスでDMZを無効にします。
   • ネットワーク クライアントでUPnPを無効にします。



3. ファイアウォール規則を追加

   Site-to-Site VPN 接続を確保するために、特に [ IPv4/IPv6 WAN- SRMトラフィックが規則に一致しない場合] オプションが [拒否] に設定されている場合は、ファイアウォールが VPN 接続をブロックしていないことを確認してください。 Site-to-Site VPN トンネルを介してSynology Routerデバイスに接続できるようにするには、次の手順に従ってファイアウォール規則を追加してください。

   1. [ SRM] > [ネットワーク センター] > [セキュリティ] > [ファイアウォール]の順に進みます。
   2. [作成]をクリックします。
   3. [名前]セクションで、ファイアウォール規則の名前を入力します。
   4. [プロトコル]セクションで [ UDP]を選択します。
   5. [ソース]セクションで、[ IPアドレス] と [ポート]の両方で [すべて] を選択します。
   6. [ディスティネーション]セクション下で、以下のオプションを選択します。
      • IPアドレスSRMを選択します。
      • ポート[内蔵アプリケーションのリストから選択] を選択し、[選択] をクリックした後、[ VPN Plus Server (IPsec)]にチェックを入れます。
   7. [操作] セクションで [許可]を選択します。
   8. [ OK]をクリックし、[保存]をクリックして終了します。

   SRMでのファイアウォールの設定については、こちらを参照してください。

   

4. DDNSを使用して VPN を設定する場合は、DNS 機能を確認してください

   VPN Plus Server は、Site-to-Site VPN の構成中に Synology DDNS (Dynamic Domain Name Service) を使用してSynology Routerデバイスの場所を識別できるようにします (ローカル IDとリモート IDを使用)。 DDNSを使用しているが、Site-to-Site VPN の接続で問題が発生した場合は、次のトラブルシューティング手順に従ってください。

   • Synology Routerデバイスで Site-to-Site VPN 構成にDDNSと IPv6 の両方を使用している場合は、[ SRM] > [ネットワーク センター] > [ローカル ネットワーク] > [ IPv6 ] の順に進んで、IPv6 を一時的に無効にしてください。次に、Site-to-Site VPN を再構成して、再度接続を試みてください。
   • Site-to-Site VPN のセットアップ中に、外部IPアドレス (例えば、210.61.203.200) およびDDNSを使用してSynology Routerデバイスを接続してみてください。外部IPアドレス経由の接続が正しく機能するが、 DDNSが機能しない場合は、Google の DNS "8.8.8.8" を優先 DNS サーバーとして使用してみてください。 DNS サーバーを構成するには、両方のSynology Routerデバイスで [ SRM] > [ネットワーク センター] > [インターネット] > [接続] の順に進み、Site-to-Site VPN を再度セットアップします。

5. Site-to-Site と L2TP VPN が異なる事前共有キーを使用していることを確認してください

   Synology Routerで Site-to-Site VPN と L2TP VPN の両方を構成するには、IPsec プロトコルが必要です。両方の VPN 接続タイプに同じ事前共有キー (PSK) を使用することは避けてください。

6. セットアップ中に正しい情報を入力してください

   Site-to-Site VPN 構成用に入力した情報が正確で、両方のSynology Routerデバイスで一貫していることを確認してください。構成後にステータスが「接続済み」ではなく「接続中」のままの場合は、構成情報を確認して Site-to-Site VPN を再構成してください。

7. 両方のサイトの VPN サブネットがオーバーラップしていないことを確認してください

   両方のサイトの VPN サブネットが互いにオーバーラップしていないことを確認してください。

   上記のすべてのステップを行った後で Site-to-Site VPN ネットワークが正常にセットアップされたにもかかわらず、他のサイトのローカル ネットワークに展開されたデバイスに ping を実行できない場合は、 この記事で詳細情報を参照してください。