成都科汇科技有限公司

Kehui Technology Co., Ltd.

成都科汇科技有限公司
拥有15年 数据存储  专业经验 的私有云 解决方案商
产品中心
新闻中心
名称描述内容
如何在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN
来源: | 作者:qyqsynology | 发布时间: 2018-03-09 | 1105 次浏览 | 分享到:
由 Synology VPN Plus 提供支持的 Site-to-Site VPN 服务允许处于不同地理位置的多个网络通过 Internet 在彼此之间建立安全连接。
除了在两个 Synology Router 产品之间使用 Site-to-Site VPN 隧道时可以体验到的好处之外,您还可以在 Synology Router 与已有 FortiGate 设备之间设置这类隧道。
本教程将指导您在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN。在这里以 FortiGate 50E 为例。

如何在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN

Synology VPN Plus 提供支持的 Site-to-Site VPN 服务允许处于不同地理位置的多个网络通过 Internet 在彼此之间建立安全连接。

除了在两个 Synology Router 产品之间使用 Site-to-Site VPN 隧道时可以体验到的好处之外,您还可以在 Synology Router 与已有 FortiGate 设备之间设置这类隧道。

本教程将指导您在 Synology Router 与 FortiGate 设备之间设置 Site-to-Site VPN。在这里以 FortiGate 50E 为例。

注:

§ 以下步骤在 FortiGate 50E 上执行。如果您使用其他 FortiGate 设备,请确认该设备支持 IPSec

目录

1. 开始之前的准备

2. FortiGate 50E 上的 Site-to-Site VPN 配置

3. Synology Router 上的 Site-to-Site VPN 配置

1.开始之前的准备

在继续进行 Site-to-Site VPN 设置之前,请确认您已具有如下所述的充足环境。

 

§ 设置 Synology Router RT2600ac 或 RT1900ac,确保其运行的是 SRM 1.1.5 或以上版本。

§ 安装 VPN Plus Server 1.2.0 或以上版本。

§  VPN Plus Server 中,激活 Site-to-Site VPN 功能。
注:如需有关我们许可证计划的更多信息,请参阅此网页

本教程基于如下所述情况。

§ Synology RouterRT2600ac 或 RT1900ac)站点

§ 内部子网:19.16.1.0/24

§ 网关:10.11.50.232

§ FortiGate 50E 站点(固件v5.6.2 内部版本 1486

§ 内部子网:192.168.10.0/24

§ 网关:10.11.70.203

§ 预共享密钥:123456789

§ 加密配置:

§ 阶段 1:

§ 加密:AES256

§ 验证:SHA-256

§ 密钥使用寿命:14400

§ DH 群组:5 (modp 1536)

§ DPD (Dead Peer Detection):启用

§ 阶段 2:

§ 加密:AES256

§ 验证:SHA-256

§ 密钥使用寿命:14400

§ DH 群组:5 (modp 1536)

2.FortiGate 50E 上的 Site-to-Site VPN 配置

登录 FortiGate 50E 的配置界面,然后按以下步骤操作:

1. 进入 VPN > IPSec Wizard

2.  VPN Setup 选项卡中,基于我们提供的情况完成设置:

§ Name:在这里输入SynologyRouter”。

§ Template Type:选择 Site to Site

§ Remote Device Type:选择 FortiGate

§ NAT configuration:选择 No NAT between sites

3.  Authentication 选项卡中,基于我们提供的情况完成设置:

§ Remote Device:选择 IP 地址

§ IP Address:输入远程设备(即 Synology Router)的 IP 地址。在这里输入 10.11.50.232

§ Outgoing Interface:指定可用接口作为对外接口。在这里使用 wan1

§ Authentication Method:选择 Pre-shared Key

§ Pre-shared Key指定预共享密钥,并在另一个站点(即 Synology Router)上使用相同设置。在这里输入 123456789

4.  Policy & Routing 选项卡中,基于我们提供的情况完成设置:

§ Local Interface:在这里选择 lan

§ Local Subnets:在这里将其保留为默认设置。

§ Remote Subnets:指定远程站点的内部子网。在这里输入 19.16.1.0/24

5. 单击 Create。随后会看到总览页面。

6. 单击 Show Tunnel List 可查看刚创建的隧道。

3.Synology Router 上的 Site-to-Site VPN 配置

Synology Router 上登录 SRM,然后按以下步骤操作。

1. 进入 VPN Plus Server > Site-to-Site VPN

2. 单击添加 > 手动

3. 常规选项卡中,配置以下设置:

§ 配置文件名称:为配置文件输入自定义名称。在这里输入FortiGate”。

§ 预共享密钥:输入与 FortiGate 50E 上相同的预共享密钥。

§ 本地站点区域下,配置以下设置:

§ 出站 IP:输入 Synology Router 的 IP 地址。在这里输入 10.11.50.232

§ 本地 ID:可以输入公共 IP 地址或 FQDN 以指定本地 ID。在这里输入 10.11.50.232

§ 专用子网:指定在 Synology Router 专用子网之下的本地网络。在这里选择本地网络 (19.16.1.0/24)

§ 远程站点区域下,配置以下设置:

§ IP 地址/FQDN:输入 FortiGate 50E 的 IP 地址。在这里输入 10.11.70.203

§ 远程 ID:可以输入公共 IP 地址或 FQDN 以指定远程 ID。在这里输入 10.11.70.203

§ 专用子网:指定在 FortiGate 50E 专用子网之下的本地网络。在这里输入 192.168.10.0/24

§  Dead Peer Detection 区域下,勾选启用以定期检查对等体是否处于活动状态。可以在启用此选项之后配置设置。在这里将其保留为默认设置。

4. 加密选项卡中,确保以下设置与另一个站点上的设置相同:

§ 阶段 1 区域下:

§ IKE 版本:选择 IKEv1

§ 模式:选择主模式(ID 保护)

§ 加密:选择 AES256

§ 验证:选择 SHA-256

§ DH 群组:选择 5 (modp 1536)

§ 密钥使用寿命:选择 14400 秒。

§ 阶段 2 区域下:

§ 加密:选择 AES256

§ 验证:选择 SHA-256

§ DH 群组:选择 5 (modp 1536)

§ 密钥使用寿命:选择 14400 秒。

§ 勾选启用完美前向保密 (PFS) 复选框。

5. 设置完成后,您会在两个站点上分别看到 Site-to-Site VPN 隧道的状态。


群晖 Synology 网络存储服务器  四川省唯一企业级代理
-------------------------------------------
成都科汇科技有限公司
地址:成都市人民南路四段1号时代数码大厦18FA5
QQ:    2231749852
电话:400-028-1235
手机(微信):138-8074-7621
--------------------------------------------
员工数据集中备份方案
勒索病毒防治解决方案
企业私有云盘解决方案
--------------------------------------------
群晖synology 解决方案及售后服务中心