# Habilitar VPN IPsec de sitio a sitio

Las pasarelas de Verkada pueden actuar como clientes VPN site-to-site IPSec IKEv2. Esto permite que la pasarela se conecte a un servidor VPN IPsec y enrute tráfico encriptado. La pasarela solo puede enrutar el tráfico de los dispositivos conectados a ella a través de la VPN. Deben configurarse las reglas de salida y NAT adecuadas en el servidor VPN para permitir que el tráfico de los dispositivos conectados se enrute a través de Internet y dentro del túnel VPN.

{% hint style="info" %}
Recomendamos encarecidamente configurar [DNS dinámico ](https://help.verkada.com/connectivity/es/configuracion/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways)en la pasarela si estás usando una tarjeta SIM sin una IP pública estática. Esto ayuda a evitar que tu VPN se desconecte o quede inactiva cuando se asigna una IP pública dinámica.
{% endhint %}

***

## Configurar VPN IPsec en una pasarela

{% stepper %}
{% step %}
**En Verkada Command, ve a Todos los productos > Pasarelas.**
{% endstep %}

{% step %}
**Selecciona el gateway que deseas configurar.**
{% endstep %}

{% step %}
**En la esquina superior derecha, haz clic en Configuración.**
{% endstep %}

{% step %}
**En Red > VPN IPsec, activa Habilitar VPN IPSec.**

<div align="left" data-with-frame="true"><img src="https://1079273593-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-7cc6c8485e3f801a909748aea731f8adfab2b674%2F56663e03fc1e83382655a50c1b4706601944eebb.png?alt=media" alt="" width="742"></div>
{% endstep %}

{% step %}
**En el campo Servidor, introduce la IP del servidor VPN o el nombre de dominio.**
{% endstep %}

{% step %}
**La pasarela admite dos tipos de autenticación:**

a. (Consulta el paso 7) **Certificado**: Requiere *Autoridad de certificación* cert, *cliente* *cert,* y *clave.*\
b. (Consulta el paso 8) **Clave precompartida**: Requiere una clave compartida.
{% endstep %}

{% step %}
**En el menú desplegable Autenticación, selecciona Certificado.**

a. En **ID remoto,** introduce el *subjectAltName* o *subject DN*.\
b. En **ID local,** introduce el certificado local *subjectAltName* o *subject DN*.

<div align="left" data-with-frame="true"><img src="https://1079273593-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-efa796db1a5a3a87f97bc95e934f6061a86d749d%2F3880a1d563efb82e43c81a90bb2ccaf071e98583.png?alt=media" alt="" width="743"></div>

c. Sube la **Clave del cliente,** **Certificado del cliente**y **Autoridad de certificación** certificado en formato *.pem* . **Nota:** Las instrucciones para generar una clave y un certificado de cliente, y para configurar una autoridad de certificación, se encuentran [aquí](https://docs.strongswan.org/docs/5.9/pki/pkiQuickstart.html).\
d. Pasa al paso 9.
{% endstep %}

{% step %}
**En el menú desplegable Autenticación, selecciona Clave precompartida.**

a. En **ID remoto,** introduce el ID remoto de la clave precompartida.\
b. En **ID local,** introduce el ID local de la clave precompartida.\
c. En **Contraseña,** introduce la contraseña de la clave precompartida.

<div align="left" data-with-frame="true"><img src="https://1079273593-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-58c323dccfa517f11730d30ef57ba76509b3d25d%2F52714477ac348030622012c1a75f81f6c0a2daa1.png?alt=media" alt="" width="743"></div>
{% endstep %}

{% step %}
**Haz clic en Aplicar y luego en Confirmar para guardar. Tu pasarela debería mostrar ahora una insignia de VPN junto al nombre, lo que indica que la conexión se realizó correctamente.**

<div align="left" data-with-frame="true"><img src="https://1079273593-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-9c3ff0b9444c8349cb53872c677efbcaadd949d4%2F6456bfcdfaad26da3ab856d426a9de6238b94223.png?alt=media" alt="" width="563"></div>
{% endstep %}
{% endstepper %}

***

## Configura tu servidor VPN

Al configurar tu servidor VPN, debes establecer detalles específicos para crear el túnel VPN y habilitar la transferencia de datos entre el servidor y el cliente.

#### Tipo de enrutamiento VPN compatible

* Enrutamiento basado en políticas

#### Versión de intercambio de claves compatible

* IKEv2

{% hint style="warning" %}
La confidencialidad perfecta hacia adelante (PFS) no es compatible en las pasarelas como cliente VPN.
{% endhint %}

#### Conjuntos de cifrado compatibles para la Fase 1 y la Fase 2 de IKE

* Cifrado
  * AES 128
  * AES 256
* Hash
  * SHA 256
  * SHA 384
  * SHA 512
* Grupo DH
  * Grupo 14

{% hint style="info" %}
[Configurar DDNS](https://help.verkada.com/connectivity/es/configuracion/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways) usando un proveedor gratuito de DDNS compatible para garantizar que tu VPN esté siempre conectada al cliente usando su dirección IP pública dinámica. De esta manera, el ‘nombre de host’ proporcionado siempre resuelve la dirección IP pública activa en el cliente VPN.
{% endhint %}