Centrum wiedzy

Nie można skonfigurować połączenia Site-to-Site VPN. Co mogę zrobić?

Ostatnia aktualizacja:12 mar 2024

Nie można skonfigurować połączenia Site-to-Site VPN. Co mogę zrobić?

Niektóre artykuły zostały przetłumaczone maszynowo z języka angielskiego i mogą zawierać nieścisłości lub błędy gramatyczne.

Objawy

Sieć Site-to-Site VPN została skonfigurowana za pośrednictwem serwera VPN Plus Server , ale status stale pokazuje połączenie zamiast połączone .

Rozwiązanie

  1. Konfiguruj reguły przekierowania portów

    Aby usługa Site-to-Site VPN działała, porty 500 i 4500 (dla protokołu IPSec) muszą być otwarte na obu urządzeniach Synology Router . Jeżeli jedno z urządzeń Synology Router znajduje się za urządzeniem NAT (np. routerem lub przełącznikiem), reguły przekierowania portów są wymagane do przekazywania pakietów z urządzenia NAT do urządzenia Synology Router.

    Jeśli urządzenie NAT jest jednocześnie urządzeniem Synology Router, zapoznaj się z tym artykułem , aby uzyskać szczegółowe instrukcje dotyczące konfigurowania reguł przekierowania portów.

  2. Upewnij się, że usługa VPN nie jest przekierowywana do klientów

    Problemy z połączeniem mogą wystąpić, jeśli używane jest dowolne z następujących ustawień:

    • Synology Router ma reguły przekierowania portów skonfigurowane tak, aby kierować pakiety do portów klientów sieciowych 500 lub 4500.
    • Synology Router ma włączoną funkcję DMZ , a host DMZ jest przypisany do klienta sieciowego.
    • Co najmniej jeden klient sieciowy ma włączoną UPnP (Universal Plug and Play), która automatycznie przekierowuje pakiety routera do portu 500 lub 4500.

    Aby rozwiązać problemy z połączeniem:

    • SRM > Centrum sieciowe > Przekierowanie portów > Przekierowanie portów i usuń reguły przekierowania portów na urządzeniach Synology Router .
    • Wybierz SRM > Centrum sieciowe > Przekierowanie portów > DMZ i wyłącz DMZ w urządzeniach Synology Router .
    • Wyłącz UPnP na klientach sieciowych.

    3. 1.png

  3. Dodaj regułę zapory sieciowej

    Aby zapewnić łączność Site-to-Site VPN, upewnij się, że zapora sieciowa nie blokuje połączenia VPN, zwłaszcza jeśli opcja Jeśli ruch IPv4/IPv6 WAN-to- SRM pasuje, brak reguł jest ustawiona na Odmawiaj . Aby zezwolić na połączenia z urządzeniami Synology Router przez tunel Site-to-Site VPN, wykonaj następujące czynności w celu dodania reguły zapory sieciowej:

    1. Przejdź do SRM > Network Center > Bezpieczeństwo > Zapora sieciowa .
    2. Kliknij Utwórz .
    3. W sekcji Nazwa wprowadź nazwę reguły zapory sieciowej.
    4. W sekcji Protokół wybierz opcję UDP .
    5. W sekcji Źródło wybierz opcję Wszystkie dla opcji Adres IP i Porty .
    6. W sekcji Miejsce docelowe wybierz następujące opcje:
      • Adres IP : Wybierz SRM .
      • Porty : Zaznacz pole wyboru Wybierz z listy wbudowanych aplikacji , kliknij Wybierz , a następnie zaznacz pole wyboru VPN Plus Server (IPsec) .
    7. W sekcji Akcja wybierz opcję Zezwalaj .
    8. Kliknij OK , a następnie Zapisz , aby zakończyć.

    Szczegółowe instrukcje dotyczące konfiguracji zapory sieciowej w SRM można znaleźć w tym artykule .

    2.png

  4. W przypadku korzystania z DDNS do konfiguracji sieci VPN należy upewnić się, że jest to usługa DNS

    VPN Plus Server umożliwia korzystanie z usługi Synology DDNS (Dynamic Domain Name Service) do identyfikacji lokalizacji urządzeń Synology Router (przy użyciu identyfikatora lokalnego i zdalnego ) podczas konfiguracji Site-to-Site VPN. Jeśli korzystasz z DDNS , ale występują problemy z połączeniem Site-to-Site VPN, wykonaj następujące czynności, aby rozwiązać problem:

    • Jeżeli do konfiguracji Site-to-Site Synology Router używasz zarówno DDNS , jak i IPv6, wyłącz tymczasowo IPv6, przechodząc do obszaru SRM > Network Center > Sieć lokalna > IPv6 . Następnie ponownie skonfiguruj Site-to-Site VPN i spróbuj ponownie nawiązać połączenie.
    • Spróbuj połączyć urządzenia Synology Router przy użyciu ich zewnętrznych adresów IP (np. 210.61.203.200) i DDNS podczas konfiguracji Site-to-Site VPN. Jeśli połączenie za pośrednictwem zewnętrznego adresu IP działa prawidłowo, ale DDNS nie, spróbuj użyć DNS Google „8.8.8.8” jako preferowanego serwera DNS. Aby skonfigurować serwer DNS, wybierz SRM > Network Center > Internet > Połączenie na obu urządzeniach Synology Router , a następnie ponownie skonfiguruj Site-to-Site VPN.

  5. Upewnij się, że sieci Site-to-Site i VPN L2TP używają różnych kluczy wstępnych

    Do skonfigurowania zarówno Site-to-Site VPN, jak i L2TP VPN na urządzeniu Synology Router wymagany jest protokół IPsec. Unikaj używania tego samego klucza wstępnego (PSK) dla obu typów połączeń VPN.

  6. Podczas konfiguracji wprowadź poprawne informacje

    Upewnij się, że informacje wprowadzone w konfiguracji Site-to-Site VPN są poprawne i spójne na obu urządzeniach Synology Router . Jeśli po skonfigurowaniu stan pozostaje " Łączenie " zamiast " Połączony " , przejrzyj informacje o konfiguracji i ponownie skonfiguruj Site-to-Site VPN.

  7. Upewnij się, że podsieci VPN w obu lokalizacjach nie nachodzą na siebie

    Upewnij się, że podsieci VPN w obu lokalizacjach nie nakładają się na siebie.

    Jeśli sieć Site-to-Site VPN została pomyślnie skonfigurowana po wykonaniu wszystkich powyższych czynności, ale nadal nie można wysłać pakietów ping do urządzeń zainstalowanych w sieci lokalnej innej lokalizacji, zapoznaj się z tym artykułem , aby uzyskać więcej informacji.

Objawy
Rozwiązanie
Konfiguruj reguły przekierowania portów
Upewnij się, że usługa VPN nie jest przekierowywana do klientów
Dodaj regułę zapory sieciowej
W przypadku korzystania z DDNS do konfiguracji sieci VPN należy upewnić się, że jest to usługa DNS
Upewnij się, że sieci Site-to-Site i VPN L2TP używają różnych kluczy wstępnych
Podczas konfiguracji wprowadź poprawne informacje
Upewnij się, że podsieci VPN w obu lokalizacjach nie nachodzą na siebie