# IPsec Site-to-Site-VPN aktivieren

Verkada-Gateways können als site-to-site IPSec IKEv2-VPN-Clients fungieren. Dadurch kann das Gateway eine Verbindung zu einem IPsec-VPN-Server herstellen und verschlüsselten Datenverkehr weiterleiten. Das Gateway kann nur den Datenverkehr von mit ihm verbundenen Geräten über das VPN weiterleiten. Auf dem VPN-Server müssen geeignete Egress- und NAT-Regeln eingerichtet werden, damit der Datenverkehr verbundener Geräte über das Internet und innerhalb des VPN-Tunnels weitergeleitet werden kann.

{% hint style="info" %}
Wir empfehlen dringend die Einrichtung von [Dynamic DNS ](https://help.verkada.com/connectivity/de/konfiguration/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways)auf dem Gateway, wenn Sie eine SIM-Karte ohne statische öffentliche IP verwenden. Dadurch wird verhindert, dass Ihr VPN die Verbindung trennt oder inaktiv wird, wenn eine dynamische öffentliche IP zugewiesen wird.
{% endhint %}

***

## IPsec-VPN auf einem Gateway konfigurieren

{% stepper %}
{% step %}
**Gehen Sie in Verkada Command zu Alle Produkte > Gateways.**
{% endstep %}

{% step %}
**Wählen Sie das Gateway aus, das Sie konfigurieren möchten.**
{% endstep %}

{% step %}
**Klicken Sie oben rechts auf Einstellungen.**
{% endstep %}

{% step %}
**Aktivieren Sie unter Netzwerk > IPsec VPN die Option Enable IPSec VPN.**

<div align="left" data-with-frame="true"><img src="https://1971509114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-7cc6c8485e3f801a909748aea731f8adfab2b674%2F56663e03fc1e83382655a50c1b4706601944eebb.png?alt=media" alt="" width="742"></div>
{% endstep %}

{% step %}
**Geben Sie im Feld Server die IP-Adresse oder den Domänennamen des VPN-Servers ein.**
{% endstep %}

{% step %}
**Das Gateway unterstützt zwei Authentifizierungstypen:**

a. (Siehe Schritt 7) **Zertifikat**: Erfordert *Zertifizierungsstelle* Zertifikat, *Client* *Zertifikat,* und *Schlüssel.*\
b. (Siehe Schritt 8) **Pre-Shared Key**: Erfordert einen gemeinsam genutzten Schlüssel.
{% endstep %}

{% step %}
**Wählen Sie im Dropdown-Menü Authentifizierung die Option Zertifikat aus.**

a. Unter **Remote ID,** geben Sie das Remote-Zertifikat ein *subjectAltName* oder *subject DN*.\
b. Unter **Local ID,** geben Sie das lokale Zertifikat ein *subjectAltName* oder *subject DN*.

<div align="left" data-with-frame="true"><img src="https://1971509114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-efa796db1a5a3a87f97bc95e934f6061a86d749d%2F3880a1d563efb82e43c81a90bb2ccaf071e98583.png?alt=media" alt="" width="743"></div>

c. Laden Sie den **Client-Schlüssel,** **das Client-Zertifikat**und **Zertifizierungsstelle** das Zertifikat im *.pem* Format hoch. **Hinweis:** Anweisungen zum Generieren eines Client-Schlüssels und -Zertifikats sowie zum Einrichten einer Zertifizierungsstelle finden Sie [hier](https://docs.strongswan.org/docs/5.9/pki/pkiQuickstart.html).\
d. Fahren Sie mit Schritt 9 fort.
{% endstep %}

{% step %}
**Wählen Sie im Dropdown-Menü Authentifizierung die Option Pre-Shared Key aus.**

a. Unter **Remote ID,** geben Sie die Remote-ID des vorab geteilten Schlüssels ein.\
b. Unter **Local ID,** geben Sie die lokale ID des vorab geteilten Schlüssels ein.\
c. Unter **Passwort,** geben Sie das Passwort des vorab geteilten Schlüssels ein.

<div align="left" data-with-frame="true"><img src="https://1971509114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-58c323dccfa517f11730d30ef57ba76509b3d25d%2F52714477ac348030622012c1a75f81f6c0a2daa1.png?alt=media" alt="" width="743"></div>
{% endstep %}

{% step %}
**Klicken Sie auf Anwenden und dann auf Bestätigen, um zu speichern. Neben dem Namen Ihres Gateways sollte jetzt ein VPN-Abzeichen angezeigt werden, das darauf hinweist, dass die Verbindung erfolgreich war.**

<div align="left" data-with-frame="true"><img src="https://1971509114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-9c3ff0b9444c8349cb53872c677efbcaadd949d4%2F6456bfcdfaad26da3ab856d426a9de6238b94223.png?alt=media" alt="" width="563"></div>
{% endstep %}
{% endstepper %}

***

## Konfigurieren Sie Ihren VPN-Server

Bei der Konfiguration Ihres VPN-Servers müssen Sie bestimmte Details festlegen, um den VPN-Tunnel herzustellen und die Datenübertragung zwischen Server und Client zu ermöglichen.

#### Unterstützter VPN-Routing-Typ

* Policy-basiertes Routing

#### Unterstützte Version des Schlüsselaustauschs

* IKEv2

{% hint style="warning" %}
Perfect Forward Secrecy (PFS) wird auf Gateways als VPN-Client nicht unterstützt.
{% endhint %}

#### Unterstützte Cipher Suites für IKE Phase 1 und Phase 2

* Verschlüsselung
  * AES 128
  * AES 256
* Hash
  * SHA 256
  * SHA 384
  * SHA 512
* DH-Gruppe
  * Gruppe 14

{% hint style="info" %}
[Richten Sie DDNS ein](https://help.verkada.com/connectivity/de/konfiguration/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways) mithilfe eines unterstützten kostenlosen DDNS-Anbieters, um sicherzustellen, dass Ihr VPN immer mit dem Client über dessen dynamische öffentliche IP-Adresse verbunden ist. Auf diese Weise löst der angegebene „Hostname“ immer zur aktiven öffentlichen IP-Adresse auf dem VPN-Client auf.
{% endhint %}