# IPsec-Site-to-Site-VPN aktivieren

Verkada-Gateways können als site-to-site IPSec IKEv2-VPN-Clients fungieren. Dadurch kann das Gateway eine Verbindung zu einem IPsec-VPN-Server herstellen und verschlüsselten Datenverkehr weiterleiten. Das Gateway kann nur den Datenverkehr von mit ihm verbundenen Geräten über das VPN weiterleiten. Auf dem VPN-Server müssen geeignete Egress- und NAT-Regeln eingerichtet werden, damit der Datenverkehr verbundener Geräte über das Internet und innerhalb des VPN-Tunnels weitergeleitet werden kann.

{% hint style="info" %}
Wir empfehlen dringend die Einrichtung von [Dynamic DNS ](/connectivity/de/konfiguration/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways.md)auf dem Gateway, wenn Sie eine SIM-Karte ohne statische öffentliche IP verwenden. Dadurch wird verhindert, dass Ihr VPN die Verbindung trennt oder inaktiv wird, wenn eine dynamische öffentliche IP zugewiesen wird.
{% endhint %}

***

## IPsec-VPN auf einem Gateway konfigurieren

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Gateways.**
{% endstep %}

{% step %}
**Wählen Sie das Gateway aus, das Sie konfigurieren möchten.**
{% endstep %}

{% step %}
**Klicken Sie oben rechts auf Einstellungen.**
{% endstep %}

{% step %}
**Aktivieren Sie unter Netzwerk > IPsec VPN die Option Enable IPSec VPN.**

<div align="left" data-with-frame="true"><img src="/files/2c692da55c52743ec55805572936bce29953c98b" alt="" width="742"></div>
{% endstep %}

{% step %}
**Geben Sie im Feld Server die IP-Adresse oder den Domänennamen des VPN-Servers ein.**
{% endstep %}

{% step %}
**Das Gateway unterstützt zwei Authentifizierungstypen:**

a. (Siehe Schritt 7) **Zertifikat**: Erfordert *Zertifizierungsstelle* Zertifikat, *Client* *Zertifikat,* und *Schlüssel.*\
b. (Siehe Schritt 8) **Pre-Shared Key**: Erfordert einen gemeinsam genutzten Schlüssel.
{% endstep %}

{% step %}
**Wählen Sie im Dropdown-Menü Authentifizierung die Option Zertifikat aus.**

a. Unter **Remote ID,** geben Sie das Remote-Zertifikat ein *subjectAltName* oder *subject DN*.\
b. Unter **Local ID,** geben Sie das lokale Zertifikat ein *subjectAltName* oder *subject DN*.

<div align="left" data-with-frame="true"><img src="/files/41487a390504a1f05b07b0be6d22736f2dc1cf35" alt="" width="743"></div>

c. Laden Sie den **Client-Schlüssel,** **das Client-Zertifikat**und **Zertifizierungsstelle** das Zertifikat im *.pem* Format hoch. **Hinweis:** Anweisungen zum Generieren eines Client-Schlüssels und -Zertifikats sowie zum Einrichten einer Zertifizierungsstelle finden Sie [hier](https://docs.strongswan.org/docs/5.9/pki/pkiQuickstart.html).\
d. Fahren Sie mit Schritt 9 fort.
{% endstep %}

{% step %}
**Wählen Sie im Dropdown-Menü Authentifizierung die Option Pre-Shared Key aus.**

a. Unter **Remote ID,** geben Sie die Remote-ID des vorab geteilten Schlüssels ein.\
b. Unter **Local ID,** geben Sie die lokale ID des vorab geteilten Schlüssels ein.\
c. Unter **Passwort,** geben Sie das Passwort des vorab geteilten Schlüssels ein.

<div align="left" data-with-frame="true"><img src="/files/8d648784c8cc6be3eb9d63d7e77e9e8ec3c41c2a" alt="" width="743"></div>
{% endstep %}

{% step %}
**Klicken Sie auf Anwenden und dann auf Bestätigen, um zu speichern. Neben dem Namen Ihres Gateways sollte jetzt ein VPN-Abzeichen angezeigt werden, das darauf hinweist, dass die Verbindung erfolgreich war.**

<div align="left" data-with-frame="true"><img src="/files/c50f025cc7fff62c6c63450fbb19f0fa3f598af7" alt="" width="563"></div>
{% endstep %}
{% endstepper %}

***

## Konfigurieren Sie Ihren VPN-Server

Bei der Konfiguration Ihres VPN-Servers müssen Sie bestimmte Details festlegen, um den VPN-Tunnel herzustellen und die Datenübertragung zwischen Server und Client zu ermöglichen.

#### Unterstützter VPN-Routing-Typ

* Policy-basiertes Routing

#### Unterstützte Version des Schlüsselaustauschs

* IKEv2

{% hint style="warning" %}
Perfect Forward Secrecy (PFS) wird auf Gateways als VPN-Client nicht unterstützt.
{% endhint %}

#### Unterstützte Cipher Suites für IKE Phase 1 und Phase 2

* Verschlüsselung
  * AES 128
  * AES 256
* Hash
  * SHA 256
  * SHA 384
  * SHA 512
* DH-Gruppe
  * Gruppe 14

{% hint style="info" %}
[Richten Sie DDNS ein](/connectivity/de/konfiguration/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways.md) mithilfe eines unterstützten kostenlosen DDNS-Anbieters, um sicherzustellen, dass Ihr VPN immer mit dem Client über dessen dynamische öffentliche IP-Adresse verbunden ist. Auf diese Weise löst der angegebene „Hostname“ immer zur aktiven öffentlichen IP-Adresse auf dem VPN-Client auf.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://help.verkada.com/connectivity/de/konfiguration/enable-ipsec-site-to-site-vpn.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.