Не удается настроить подключение Site-to-Site VPN. Что делать?

Не удается настроить подключение Site-to-Site VPN. Что делать?

Некоторые статьи были переведены с английского языка с помощью системы машинного перевода и могут содержать неточности или грамматические ошибки.

Симптомы

Вы настроили Site-to-Site VPN с помощью VPN Plus Server , но состояние постоянно отображается как установлено соединение , а не установлено .

Решение

  1. Настройка правил переадресации портов

    Для работы службы Site-to-Site VPN на обоих устройствах Synology Router должны быть открыты порты 500 и 4500 (для протокола IPSec). Если один из Synology Router находится за устройством NAT (например, маршрутизатором или коммутатором), для переадресации пакетов с устройства NAT на Synology Router требуются правила переадресации портов.

    Если устройство NAT также является Synology Router, см. Эту статью для получения подробных инструкций по настройке правил переадресации порта.

  2. Убедитесь, что служба VPN не пересылается клиентам

    Проблемы с подключением могут возникнуть, если используются следующие настройки:

    • На Synology Router настроены правила переадресации портов для перенаправления пакетов на порты 500 или 4500 сетевых клиентов.
    • В Synology Router включена DMZ , и хост DMZ назначен сетевому клиенту.
    • На одном или нескольких сетевых клиентах включена UPnP (Universal Plug and Play), которая автоматически перенаправляет пакеты маршрутизатора на порт 500 или 4500.

    Устранение проблем с подключением

    • Перейдите в SRM > Сетевой центр > Переадресация портов> Переадресация портов и удалите правила переадресации портов на устройствах Synology Router .
    • Перейдите в SRM > Сетевой центр > Переадресация портов > DMZ и отключите DMZ на устройствах Synology Router .
    • Отключите UPnP на сетевых клиентах.

  3. 1.png

  4. Добавить правило брандмауэра

    Для обеспечения возможности подключения Site-to-Site VPN убедитесь, что брандмауэр не блокирует подключение VPN, особенно если параметр Если трафик WAN-на- SRM IPv4 / IPv6 соответствует никаким правилам , установлен на Запретить . Чтобы разрешить подключения к устройствам Synology Router через туннель Site-to-Site VPN, выполните следующие действия для добавления правила брандмауэра.

    1. Перейдите в SRM > Сетевой центр > Безопасность > Брандмауэр .
    2. Нажмите Создать .
    3. В разделе Имя введите имя правила брандмауэра.
    4. В разделе Протокол выберите UDP .
    5. В разделе Источник выберите Все для параметров IP -адрес и Порты .
    6. В разделе Место назначения выберите следующие параметры.
      • IP адрес . Выберите SRM .
      • Порты : установите флажок Выбрать из списка встроенных приложений , нажмите Выбрать и установите флажок VPN Plus Server (IPsec) .
    7. В разделе Действие выберите Разрешить .
    8. Нажмите OK , затем Сохранить для завершения.

    Подробные инструкции по настройке брандмауэра в SRM см. В этой статье .

    2.png

  5. Обеспечение функциональности DNS при использовании DDNS для настройки VPN

    VPN Plus Server позволяет использовать Synology DDNS (динамическую службу доменных имен) для определения местоположения устройств Synology Router (с помощью локального и удаленного идентификаторов ) во время настройки Site-to-Site VPN. Если при использовании DDNS возникают проблемы с подключением Site-to-Site VPN, выполните следующие действия.

    • Если вы используете и DDNS , и IPv6 для конфигураций Site-to-Site VPN на любом из устройств Synology Router , временно отключите IPv6, перейдя в SRM > Сетевой центр > Локальная сеть > IPv6 . Затем измените конфигурацию Site-to-Site VPN и повторите попытку подключения.
    • Попробуйте подключить устройства Synology Router с помощью их внешних IP -адресов (например, 210.61.203.200) и DDNS во время настройки Site-to-Site VPN. Если подключение через внешний IP -адрес работает, а DDNS не работает, попробуйте использовать DNS от Google «8.8.8.8» в качестве предпочтительного DNS-сервера. Чтобы настроить сервер DNS, перейдите в SRM > Сетевой центр > Интернет > Подключение на обоих устройствах Synology Router , а затем повторно настройте Site-to-Site VPN.

  6. Убедитесь, что Site-to-Site и L2TP VPN используют разные общие ключи

    Для настройки Site-to-Site VPN и L2TP VPN на Synology Router требуется протокол IPsec. Не рекомендуется использовать один и тот же общий ключ (PSK) для обоих типов подключения VPN.

  7. Введите правильную информацию во время установки

    Убедитесь, что информация, введенная для конфигурации Site-to-Site VPN, является точной и согласованной на обоих устройствах Synology Router . Если после настройки состояние остается " Подключается ", а не " Подключено ", проверьте информацию о конфигурации и перенастройте Site-to-Site VPN.

  8. Убедитесь, что подсети VPN обеих площадок не перекрываются

    Убедитесь, что подсети VPN на обоих объектах не перекрываются друг с другом.

    Если сеть Site-to-Site VPN была успешно настроена после выполнения всех описанных выше действий, но вы по-прежнему не можете проверить связь с устройствами, развернутыми в локальной сети другого объекта, см. Эту статью для получения дополнительной информации.

Симптомы
Решение
Настройка правил переадресации портов
Убедитесь, что служба VPN не пересылается клиентам
Добавить правило брандмауэра
Обеспечение функциональности DNS при использовании DDNS для настройки VPN
Убедитесь, что Site-to-Site и L2TP VPN используют разные общие ключи
Введите правильную информацию во время установки
Убедитесь, что подсети VPN обеих площадок не перекрываются