Site-to-Site VPN

Site-to-Site VPN 服務可讓不同實體地點的區域網路間建立安全的連線，互通於網際網路。此頁面將引導您建立 Site-to-Site VPN，並介紹一般及加密頁籤的設定。

建立 Site-to-Site VPN 連線

請依照以下步驟操作，透過兩台 Synology Router 建立 Site-to-Site VPN 連線：

1. 架設兩台 Synology Router，並且在個別裝置的 SRM 上啟用 Site-to-Site VPN 功能 (請參閱此網頁，以了解我們的授權計畫)。
2. 前往任一台 Synology Router 的 VPN Plus Server > Site-to-Site VPN。
3. 按一下新增 > 手動。
4. 前往一般及加密頁籤來設定選項，並儲存設定。
5. 按一下匯出設定檔，將 VPN 設定匯至您的電腦。
6. 前往另一台 Synology Router 的 VPN Plus Server > Site-to-Site VPN。
7. 按一下新增 > 匯入設定檔。
8. 選擇剛從上一台 Synology Router 匯出的設定檔，並儲存設定。
9. 您現在已在兩台裝置之間建立 Site-to-Site VPN 連線。

一般

• 設定檔名稱：為設定檔命名。
• 預先共同金鑰：為兩個站台設定預先共用金鑰來增強安全性。只有在兩個站台上都設定相同的預先共用金鑰時才能成功建立連線。
• 啟動此連線：若勾選此核取方塊，設定完成後將立即進行連線。只有在兩個站台都啟動此功能時才會生效。
• 啟動 DNSSEC 驗證：勾選此核取方塊，藉由 DNSSEC (Domain Name System Security Extensions) 驗證確保 Site-to-Site VPN 連線中的 DNS 解析。
• 本地站台：
  • 對外 IP：指定 Synology Router 上的一組網路介面來設定 Site-to-Site VPN 服務。
  • 本地 ID：指定本地 ID，可使用外部 IP 位址或 FQDN (Fully Qualified Domain Name，完整網域名稱)。
  • 私有子網路：指定私有子網路下的區域網路。
    注意： 下拉式選單中的選項另於物件中定義。Site-to-Site VPN 的設定不支援 IP 範圍類型的位址集區物件。下拉式選單只會顯示子網路類型的物件。
• 遠端站台：
  • IP 位址 / 完整網域名稱：輸入遠端站台的外部 IP 位址或完整網域名稱來允許外部存取。
  • 遠端 ID：指定遠端 ID，可使用外部 IP 位址或 FQDN。
  • 私有子網路：指定遠端站台私有子網路下的區域網路。
• DPD 機制：
  • 啟動：勾選核取方塊來啟動 DPD 機制 (Dead Peer Detection)。
    • DPD 延遲：指定 DPD 封包的間隔時間。
    • DPD 逾時：指定時間閾值。當超過該閾值的時間，但本地站台的 Synology Router 仍未收到 DPD 封包時，系統將判定與遠端站台的連線已中斷。

加密

• IKE 版本：選擇 IKEv1 或 IKEv2。兩個站台須設定相同的 IKE 版本。
• 模式：選擇 Main Mode 或 Aggressive Mode。兩個站台須設定相同模式。
• 加密：從 AES256、AES192、AES128、3DES 中選擇一或多個 AES 加密類型。選擇的加密類型當中，至少須有一項與遠端站台相同。
• 驗證：從 SHA-512、SHA-384、SHA-256、SHA1、MD5 中選擇一或多個驗證類型。選擇的驗證類型當中，至少須有一項須與遠端站台相同。
• DH 群組：為兩個站台指定相同的 Diffie-Hellman (DH) 群組。
• 金鑰存活週期：指定金鑰有效的時間長短。金鑰到期後，兩個站台將重新交換新的金鑰。
• 啟動完美前向安全性功能 (PFS)：啟動此功能可能會略為影響效能，但可加強安全性。