知識中心

如何解決無法建立 Site-to-Site VPN 連線的問題?

更新日期:2024年1月19日

如何解決無法建立 Site-to-Site VPN 連線的問題?

症狀

您已透過 VPN Plus Server 建立 Site-to-Site VPN 連線,但狀態持續為連線中而非已連線

解決方法

  1. 設定連接埠轉送規則

    在兩台 Synology Router 裝置上開啟連接埠 500 和 4500 (用於 IPSec 通訊協定),Site-to-Site VPN 服務才能夠正常運作。若任一台 Synology Router 位於 NAT 裝置 (例如:路由器或交換器) 之後方,請確認您已設定連接埠轉送規則,讓封包能從 NAT 裝置轉送至 Synology Router。

    若 NAT 裝置同時也是 Synology Router,請參閱此文章以了解設定連接埠轉送規則的詳細步驟。

  2. 確認 VPN 服務並未轉送至用戶端

    若有下列任一種設定,可能會造成連線問題:

    • Synology Router 設定了連接埠轉送規則,將封包傳輸至網路用戶端的連接埠 500 或 4500。
    • 在 Synology Router 上啟用 DMZ,且將一個網路用戶端指派為 DMZ 主機。
    • 一個或多個網路用戶端已啟用 UPnP (Universal Plug and Play,通用即插即用) 功能,會自動將路由器的封包轉送至連接埠 500 或 4500。

    若要排除連線問題:

    • 前往 Synology Router 裝置的 SRM > 網路中心 > 連接埠轉送 > 連接埠轉送,刪除該連接埠轉送規則。
    • 前往 Synology Router 裝置的 SRM > 網路中心 > 連接埠轉送 > DMZ 中,停用 DMZ。
    • 在網路用戶端上停用 UPnP。

    3. 1.png

  3. 新增防火牆規則

    若要確保 Site-to-Site VPN 可成功連線,請確認您的防火牆並未阻擋 VPN 連線,尤其是當如果 WAN 至 SRM 的 IPv4 / IPv6 流量無對應規則的選項被設定為拒絕時。請依照以下方式來新增防火牆規則,讓封包可以透過 Site-to-Site VPN 通道傳輸至 Synology Router 裝置:

    1. 前往 SRM > 網路中心 > 安全性 > 防火牆
    2. 按一下新增
    3. 名稱中輸入防火牆名稱。
    4. 通訊協定區塊中選擇 UDP
    5. 來源區塊中的 IP 位址連接埠皆選擇所有
    6. 目的地區塊中選擇以下選項:
      • IP 位址:選擇 SRM
      • 連接埠:勾選從內建服務的清單選取連接埠,按一下選擇,再選取 VPN Plus Server (IPsec)
    7. 操作區塊中選擇允許
    8. 按一下確定來儲存設定。

    若想了解關於在 SRM 上設定防火牆的詳細步驟,請參閱此文章

    2.png

  4. 若您使用 DDNS 來建立 VPN,請確保 DNS 可正常運作

    VPN Plus Server 讓您在建立 Site-to-Site VPN 時,可以使用 Synology DDNS (Dynamic Domain Name Service,動態網域名稱服務) 來辨識 Synology Router 的位置 (本地 ID遠端 ID)。若您使用 DDNS 但在連線至 Site-to-Site VPN 時遇到問題,請依照以下操作排除問題:

    • 若您已在任一台 Synology Router 裝置上使用 DDNS 及 IPv6 來設定 Site-to-Site VPN,請前往 SRM > 網路中心 > 區域網路 > IPv6 中暫時停用 IPv6,接著,重新設定 Site-to-Site VPN 並嘗試再次連線。
    • 在建立 Site-to-Site VPN 時,嘗試分別透過外部 IP 位址 (例如:「210.61.203.200」) 及 DDNS 來連線至 Synology Router。若外部 IP 位址可正常連線而 DDNS 無法,請分別前往兩台 Synology Router 的 SRM > 網路中心 > 網際網路 > 連線,將 Google 的 DNS 「8.8.8.8」設為慣用 DNS 伺服器,再重新建立 Site-to-Site VPN。

  5. 確認您的 Site-to-Site 及 L2TP VPN 使用不同的預先共用金鑰

    在 Synology Router 上建立 Site-to-Site VPN 及 L2TP VPN 皆需透過 IPsec 通訊協定,因此請避免在兩個 VPN 連線中使用相同的預先共用金鑰 (PSK)。

  6. 確認您在設定時輸入正確的資訊

    確認在兩台 Synology Router 上建立 Site-to-Site VPN 時,輸入的所有資訊正確且一致。若完成設定後狀態仍為「連線中」而非「已連線」,請檢查設定資訊並重新建立 Site-to-Site VPN。

  7. 確認兩個站台的 VPN 子網路沒有重疊

    確保兩個站台的 VPN 子網路沒有重疊。

    若在執行上述所有步驟後,可成功架設 Site-to-Site VPN,但依然無法使用 Ping 指令連線至部署在遠端區域網路中的裝置,請參閱此文章以了解更多資訊。

症狀
解決方法
設定連接埠轉送規則
確認 VPN 服務並未轉送至用戶端
新增防火牆規則
若您使用 DDNS 來建立 VPN,請確保 DNS 可正常運作
確認您的 Site-to-Site 及 L2TP VPN 使用不同的預先共用金鑰
確認您在設定時輸入正確的資訊
確認兩個站台的 VPN 子網路沒有重疊