Site-to-Site VPN
Site-to-Site VPN-service stelt lokale netwerken op verschillende fysieke locaties in staat om veilig met elkaar te communiceren via internet. Deze pagina leidt u door de installatie van Site-to-Site VPN en de instellingen op de tabbladen Algemeen en Codering.
Instellen van een Site-to-Site VPN-verbinding
Volg de onderstaande stappen om een Site-to-Site VPN-verbinding tot stand te brengen tussen twee Synology Router-apparaten:
- Stel twee Synology Router-apparaten in en activeer de Site-to-Site VPN-functie op hun SRM (raadpleeg deze webpagina voor meer informatie over ons licentieplan).
- Ga op elke Synology Router naar VPN Plus Server > Site-to-Site VPN.
- Klik op Toevoegen > Handmatig.
- Configureer de instellingen op de tabbladen Algemeen en Codering en sla de instellingen op.
- Klik op Profiel exporteren om de VPN-configuraties naar uw computer te exporteren.
- Ga naar VPN Plus Server > Site-to-Site VPN op de andere Synology Router.
- Klik op Toevoegen > Profiel importeren.
- Selecteer het profiel dat u zojuist hebt geëxporteerd uit de vorige Synology Router, en sla de instelling op.
- U hebt nu een Site-to-Site VPN-verbinding tot stand gebracht tussen de twee apparaten.
Opmerking:
- profiel exporteren/importeren is niet beschikbaar wanneer een Site-to-Site VPN-tunnel is ingesteld op een ander apparaat met IPSec-ondersteuning dat geen Synology Router is.
Algemeen
- Profielnaam: Het profiel een naam geven.
- Voorafgedeelde sleutel: Specificeer de vooraf gedeelde sleutel op beide sites om de beveiliging te verbeteren. Succesvolle verbindingen zijn alleen mogelijk wanneer de identieke vooraf gedeelde sleutel op beide sites is ingevoerd.
- Deze verbinding inschakelen: schakel dit selectievakje in door onmiddellijk na instelling een verbinding te maken. Deze functie werkt alleen wanneer op beide sites ingeschakeld.
- DNSSEC-validatie inschakelen: Schakel dit selectievakje in om de DNS-omzetting via DNSSEC-validering (Domein Name System Security Extensions) tijdens Site-to-Site VPN-verbindingen te beveiligen.
- Lokale site:
- Uitgaande IP: Specificeer een van de netwerkinterfaces op uw Synology Router om de Site-to-Site VPN-service in te stellen.
- Lokale ID: Voer een lokale ID in, wat een openbaar IP-adres of een FQDN (Fully Qualified Domain Name) kan zijn.
- Privésubnetwerk: Voer het lokale netwerk in onder het privésubnetwerk.
Opmerking: De opties in dit vervolgkeuzemenu zijn bepaald in Object. Adrespoolobjecten in het type IP-bereik worden niet ondersteund door Site-to-Site VPN. U ziet alleen de objecten in het type Subnetwerk in het vervolgkeuzemenu.
- Externe site:
- IP-adres/FQDN: Vul het openbare IP-adres of FQDN van uw externe site in om externe toegang toe te staan.
- Externe ID: Voer de externe ID in, wat een publiek IP-adres of een FQDN kan zijn.
- Privésubnetwerk: Voer het lokale netwerk in onder het privésubnetwerk van de externe site.
- Dead Peer Detection:
- Inschakelen: Schakel het selectievakje in om Dead Peer Detection (DPD) in te schakelen.
- DPD-vertraging: Geef het tijdsineterval op tussen DPD-pakketten.
- DPD-time-out: Specificeer een tijddrempelwaarde. Deze optie biedt de detectie van verbindingsverlies met de externe site wanneer de Synology Router op uw lokale site gedurende een langere periode dan de tijddrempelwaarde geen DPD-pakketten heeft ontvangen.
- Inschakelen: Schakel het selectievakje in om Dead Peer Detection (DPD) in te schakelen.
Opmerking:
- De privésubnetwerken van lokale en externe sites mogen elkaar niet overlappen.
- U kunt het RFC 3706-document lezen voor meer informatie over Dead Peer Detection.
- De Synology Router die als Site-to-Site VPN-verbinding op de lokale site fungeert heeft geen toegang tot het privénetwerk van de externe site.
- Wanneer de Site-to-Site VPN-instellingen handmatig worden geconfigureerd tussen twee Synology Router-apparaten (bijv. Site A en site B), moet de informatie in het gedeelte Lokale site op het ene apparaat (bijv. Site A) worden ingevoerd in het gedeelte Externe site van het andere apparaat (bijv. Site B), en vice versa.
- Veelgestelde vragen over Site-to-Site VPN:
Codering
- IKE-versie: Selecteer IKEv1 of IKEv2. Beide sites moeten dezelfde IKE-versie hebben.
- Modus: Selecteer Hoofdmodus of Agressieve modus. Beide sites moeten dezelfde modus hebben.
- Codering: Selecteer een of meer types AES-codering uit AES256, AES192, AES128 en 3DES. U moet minstens een coderingsmethode selecteren dat ook door de andere site wordt overgenomen.
- Verificatie: Selecteer een of meer verificatietypes uit SHA-512, SHA-384, SHA-256, SHA1 en MD5. U moet minstens een verificactietype selecteren dat ook door de andere site wordt overgenomen.
- DH groep: specificeer dezelfde Diffie-Hellman (DH) groep voor beide sites.
- Sleutellevensduur: Specificeer de geldigheid van uw sleutel. Zodra de sleutel vervalt, zullen beide sites een nieuwe sleutel uitwisselen.
- Perfect Forward Secrecy (PFS) inschakelen: Het inschakelen van deze optie kan de prestaties enigszins beïnvloeden, maar verbetert de beveiliging.
Opmerking:
- configuratie-inconsistenties tussen de twee sites kan verbindingsfouten veroorzaken. We raden u aan om de configuratie te exporteren (bijv. het profiel) van een site en te importeren op de andere site. Dit vereenvoudigt de instelling en voorkomt verbindingsfouten.
Instellen van een Site-to-Site VPN-verbinding
Algemeen
Codering