成都科汇科技有限公司
Kehui Technology Co., Ltd.
除了在两个 Synology Router 产品之间使用 Site-to-Site VPN 隧道时可以体验到的好处之外,您还可以在 Synology Router 与已有 FortiGate 设备之间设置这类隧道。
本教程将指导您在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN。在这里以 FortiGate 50E 为例。
如何在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN
由 Synology VPN Plus 提供支持的 Site-to-Site VPN 服务允许处于不同地理位置的多个网络通过 Internet 在彼此之间建立安全连接。
除了在两个 Synology Router 产品之间使用 Site-to-Site VPN 隧道时可以体验到的好处之外,您还可以在 Synology Router 与已有 FortiGate 设备之间设置这类隧道。
本教程将指导您在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN。在这里以 FortiGate 50E 为例。
注:
§ 以下步骤在 FortiGate 50E 上执行。如果您使用其他 FortiGate 设备,请确认该设备支持 IPSec。
目录
1. 开始之前的准备
2. FortiGate 50E 上的 Site-to-Site VPN 配置
3. Synology Router 上的 Site-to-Site VPN 配置
1.开始之前的准备
在继续进行 Site-to-Site VPN 设置之前,请确认您已具有如下所述的充足环境。
§ 设置 Synology Router RT2600ac 或 RT1900ac,确保其运行的是 SRM 1.1.5 或以上版本。
§ 安装 VPN Plus Server 1.2.0 或以上版本。
§ 在 VPN Plus Server 中,激活 Site-to-Site VPN 功能。
注:如需有关我们许可证计划的更多信息,请参阅此网页。
本教程基于如下所述情况。
§ Synology Router(RT2600ac 或 RT1900ac)站点
§ 内部子网:19.16.1.0/24
§ 网关:10.11.50.232
§ FortiGate 50E 站点(固件:v5.6.2 内部版本 1486)
§ 内部子网:192.168.10.0/24
§ 网关:10.11.70.203
§ 预共享密钥:123456789
§ 加密配置:
§ 阶段 1:
§ 加密:AES256
§ 验证:SHA-256
§ 密钥使用寿命:14400
§ DH 群组:5 (modp 1536)
§ DPD (Dead Peer Detection):启用
§ 阶段 2:
§ 加密:AES256
§ 验证:SHA-256
§ 密钥使用寿命:14400
§ DH 群组:5 (modp 1536)
2.FortiGate 50E 上的 Site-to-Site VPN 配置
登录 FortiGate 50E 的配置界面,然后按以下步骤操作:
1. 进入 VPN > IPSec Wizard。
2. 在 VPN Setup 选项卡中,基于我们提供的情况完成设置:
§ Name:在这里输入“SynologyRouter”。
§ Template Type:选择 Site to Site。
§ Remote Device Type:选择 FortiGate。
§ NAT configuration:选择 No NAT between sites。
3. 在 Authentication 选项卡中,基于我们提供的情况完成设置:
§ Remote Device:选择 IP 地址。
§ IP Address:输入远程设备(即 Synology Router)的 IP 地址。在这里输入 10.11.50.232。
§ Outgoing Interface:指定可用接口作为对外接口。在这里使用 wan1。
§ Authentication Method:选择 Pre-shared Key。
§ Pre-shared Key指定预共享密钥,并在另一个站点(即 Synology Router)上使用相同设置。在这里输入 123456789。
4. 在 Policy & Routing 选项卡中,基于我们提供的情况完成设置:
§ Local Interface:在这里选择 lan。
§ Local Subnets:在这里将其保留为默认设置。
§ Remote Subnets:指定远程站点的内部子网。在这里输入 19.16.1.0/24。
5. 单击 Create。随后会看到总览页面。
6. 单击 Show Tunnel List 可查看刚创建的隧道。
3.Synology Router 上的 Site-to-Site VPN 配置
在 Synology Router 上登录 SRM,然后按以下步骤操作。
1. 进入 VPN Plus Server > Site-to-Site VPN。
2. 单击添加 > 手动。
3. 在常规选项卡中,配置以下设置:
§ 配置文件名称:为配置文件输入自定义名称。在这里输入“FortiGate”。
§ 预共享密钥:输入与 FortiGate 50E 上相同的预共享密钥。
§ 在本地站点区域下,配置以下设置:
§ 出站 IP:输入 Synology Router 的 IP 地址。在这里输入 10.11.50.232。
§ 本地 ID:可以输入公共 IP 地址或 FQDN 以指定本地 ID。在这里输入 10.11.50.232。
§ 专用子网:指定在 Synology Router 专用子网之下的本地网络。在这里选择本地网络 (19.16.1.0/24)。
§ 在远程站点区域下,配置以下设置:
§ IP 地址/FQDN:输入 FortiGate 50E 的 IP 地址。在这里输入 10.11.70.203。
§ 远程 ID:可以输入公共 IP 地址或 FQDN 以指定远程 ID。在这里输入 10.11.70.203。
§ 专用子网:指定在 FortiGate 50E 专用子网之下的本地网络。在这里输入 192.168.10.0/24。
§ 在 Dead Peer Detection 区域下,勾选启用以定期检查对等体是否处于活动状态。可以在启用此选项之后配置设置。在这里将其保留为默认设置。
4. 在加密选项卡中,确保以下设置与另一个站点上的设置相同:
§ 在阶段 1 区域下:
§ IKE 版本:选择 IKEv1。
§ 模式:选择主模式(ID 保护)。
§ 加密:选择 AES256。
§ 验证:选择 SHA-256。
§ DH 群组:选择 5 (modp 1536)。
§ 密钥使用寿命:选择 14400 秒。
§ 在阶段 2 区域下:
§ 加密:选择 AES256。
§ 验证:选择 SHA-256。
§ DH 群组:选择 5 (modp 1536)。
§ 密钥使用寿命:选择 14400 秒。
§ 勾选启用**前向保密 (PFS) 复选框。
5. 设置完成后,您会在两个站点上分别看到 Site-to-Site VPN 隧道的状态。
