No puedo configurar una conexión Site-to-Site VPN. ¿Qué puedo hacer?

No puedo configurar una conexión Site-to-Site VPN. ¿Qué puedo hacer?

Algunos artículos se han traducido automáticamente del inglés y pueden contener imprecisiones o errores gramaticales.

Síntomas

Ha configurado una Site-to-Site VPN a través de VPN Plus Server , pero el estado muestra constantemente conectando en lugar de conectado .

Solución

  1. Configurar reglas de reenvío de puerto

    Los puertos 500 y 4500 (para el protocolo IPSec) deben estar abiertos en ambos dispositivos Synology Router para que funcione el servicio Site-to-Site VPN. Si cualquiera de los Synology Router se encuentra detrás de un dispositivo NAT (por ejemplo, un enrutador o un conmutador), se requieren reglas de reenvío de puerto para reenviar paquetes desde el dispositivo NAT a Synology Router.

    Si el dispositivo NAT también es un Synology Router, consulte este artículo para obtener instrucciones detalladas sobre la configuración de reglas de reenvío de puerto.

  2. Confirme que el servicio VPN no se reenvía a los clientes

    Pueden producirse problemas de conexión si se utiliza cualquiera de las siguientes opciones:

    • Synology Router tiene reglas de reenvío de puerto configuradas para enrutar paquetes a los puertos 500 o 4500 de los clientes de red.
    • Synology Router tiene DMZ habilitado y el host DMZ está asignado a un cliente de red.
    • Uno o más clientes de red tienen habilitado UPnP (Universal Plug and Play), que reenviará automáticamente los paquetes del enrutador al puerto 500 o 4500.

    Para solucionar problemas de conexión:

    • Vaya a SRM > Centro de redes > Reenvío de puerto> Reenvío de puerto y elimine las reglas de reenvío de puerto en sus dispositivos Synology Router .
    • Vaya a SRM > Centro de redes > Reenvío de puerto > DMZ y deshabilite DMZ en sus dispositivos Synology Router .
    • Deshabilite UPnP en los clientes de red.

  3. 1.png

  4. Agregar una regla de cortafuegos

    Para garantizar la conectividad Site-to-Site VPN, asegúrese de que el cortafuegos no esté bloqueando la conexión VPN, especialmente si la opción Si el tráfico WAN a SRM IPv4 / IPv6 no coincide está establecida en Denegar . Para permitir las conexiones a sus dispositivos Synology Router a través del túnel Site-to-Site VPN, siga estos pasos para agregar una regla de cortafuegos:

    1. Vaya a SRM > Centro de redes > Seguridad > Cortafuegos .
    2. Haga clic en Crear .
    3. En la sección Nombre , introduzca un nombre para la regla de cortafuegos.
    4. En la sección Protocolo , seleccione UDP .
    5. En la sección Origen , seleccione Todo para Dirección IP y Puertos .
    6. En la sección Destino , seleccione las siguientes opciones:
      • Dirección IP : seleccione SRM .
      • Puertos : marque Seleccionar de una lista de aplicaciones integradas , haga clic en Seleccionar y, a continuación, marque VPN Plus Server (IPsec) .
    7. En la sección Acción , seleccione Permitir .
    8. Haga clic en Aceptar y, a continuación, en Guardar para finalizar.

    Para obtener instrucciones detalladas sobre las configuraciones de cortafuegos en SRM, consulte este artículo .

    2.png

  5. Garantice la funcionalidad de DNS si utiliza DDNS para configurar VPN

    VPN Plus Server le permite utilizar DDNS (Servicio dinámico de nombres de dominio) de Synology para identificar las ubicaciones de sus dispositivos Synology Router (mediante el ID local y el ID remoto ) durante la configuración de Site-to-Site VPN. Si utiliza DDNS pero tiene problemas para conectar Site-to-Site VPN, siga estos pasos de solución de problemas:

    • Si utiliza DDNS e IPv6 para configuraciones de Site-to-Site VPN en cualquiera de sus dispositivos Synology Router , deshabilite temporalmente IPv6 en SRM > Centro de redes> Red local > IPv6 . A continuación, vuelva a configurar Site-to-Site VPN e intente conectarse de nuevo.
    • Intente conectar sus dispositivos Synology Router utilizando sus direcciones IP externas (por ejemplo, 210.61.203.200) y DDNS durante la configuración de Site-to-Site VPN. Si la conexión a través de la dirección IP externa funciona correctamente pero el DDNS no, pruebe a utilizar el DNS "8.8.8.8" de Google como servidor DNS preferido. Para configurar el servidor DNS, vaya a SRM > Centro de redes > Internet > Conexión en ambos dispositivos Synology Router y, a continuación, vuelva a configurar Site-to-Site VPN.

  6. Asegúrese de que su Site-to-Site y L2TP VPN utilizan claves precompartidas diferentes

    Se requiere el protocolo IPsec para configurar Site-to-Site VPN y L2TP VPN en un Synology Router. Evite utilizar la misma clave compartida previamente (PSK) para ambos tipos de conexión VPN.

  7. Introduzca la información correcta durante la configuración

    Asegúrese de que la información introducida para la configuración de Site-to-Site VPN es precisa y coherente en ambos dispositivos Synology Router . Si el estado sigue siendo " Conectando " en lugar de " Conectado " después de la configuración, revise la información de configuración y vuelva a configurar Site-to-Site VPN.

  8. Asegúrese de que las subredes VPN de ambos sitios no se superpongan

    Asegúrese de que las subredes VPN de ambos sitios no se superpongan entre sí.

    Si su red Site-to-Site VPN se ha configurado correctamente después de seguir todos los pasos anteriores, pero sigue sin poder hacer ping a los dispositivos implementados en la red local del otro sitio, consulte este artículo para obtener más información.

Síntomas
Solución
Configurar reglas de reenvío de puerto
Confirme que el servicio VPN no se reenvía a los clientes
Agregar una regla de cortafuegos
Garantice la funcionalidad de DNS si utiliza DDNS para configurar VPN
Asegúrese de que su Site-to-Site y L2TP VPN utilizan claves precompartidas diferentes
Introduzca la información correcta durante la configuración
Asegúrese de que las subredes VPN de ambos sitios no se superpongan