# Activer le VPN site à site IPsec

Les passerelles Verkada peuvent agir comme des clients VPN IPSec IKEv2 de site à site. Cela permet à la passerelle de se connecter à un serveur VPN IPsec et d’acheminer le trafic chiffré. La passerelle ne peut acheminer que le trafic provenant des appareils qui y sont connectés via le VPN. Des règles de sortie et de NAT appropriées doivent être configurées sur le serveur VPN pour permettre au trafic des appareils connectés d’être acheminé via Internet et dans le tunnel VPN.

{% hint style="info" %}
Nous recommandons vivement de configurer [DNS dynamique ](https://help.verkada.com/connectivity/fr/configuration/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways)sur la passerelle si vous utilisez une carte SIM sans IP publique statique. Cela permet d’éviter que votre VPN se déconnecte ou devienne inactif lorsqu’une IP publique dynamique est attribuée.
{% endhint %}

***

## Configurer le VPN IPsec sur une passerelle

{% stepper %}
{% step %}
**Dans Verkada Command, accédez à Tous les produits > Passerelles.**
{% endstep %}

{% step %}
**Sélectionnez la passerelle que vous souhaitez configurer.**
{% endstep %}

{% step %}
**En haut à droite, cliquez sur Paramètres.**
{% endstep %}

{% step %}
**Sous Réseau > VPN IPsec, activez l’option Activer le VPN IPsec.**

<div align="left" data-with-frame="true"><img src="https://881676661-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-7cc6c8485e3f801a909748aea731f8adfab2b674%2F56663e03fc1e83382655a50c1b4706601944eebb.png?alt=media" alt="" width="742"></div>
{% endstep %}

{% step %}
**Dans le champ Serveur, saisissez l’adresse IP du serveur VPN ou le nom de domaine.**
{% endstep %}

{% step %}
**La passerelle prend en charge deux types d’authentification :**

a. (Voir l’étape 7) **Certificat**: nécessite *Autorité de certification* cert, *client* *cert,* et *clé.*\
b. (Voir l’étape 8) **Clé prépartagée**: nécessite une clé partagée.
{% endstep %}

{% step %}
**Dans la liste déroulante Authentification, sélectionnez Certificat.**

a. Dans **ID distant,** saisissez le certificat distant *subjectAltName* ou *DN du sujet*.\
b. Dans **ID local,** saisissez le certificat local *subjectAltName* ou *DN du sujet*.

<div align="left" data-with-frame="true"><img src="https://881676661-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-efa796db1a5a3a87f97bc95e934f6061a86d749d%2F3880a1d563efb82e43c81a90bb2ccaf071e98583.png?alt=media" alt="" width="743"></div>

c. Téléversez la **clé client,** **le certificat client**et **Autorité de certification** le certificat au *.pem* format. **Remarque :** Les instructions pour générer une clé client et un certificat et pour configurer une autorité de certification se trouvent [ici](https://docs.strongswan.org/docs/5.9/pki/pkiQuickstart.html).\
d. Passez à l’étape 9.
{% endstep %}

{% step %}
**Dans la liste déroulante Authentification, sélectionnez Clé prépartagée.**

a. Dans **ID distant,** saisissez l’ID distant de la clé prépartagée.\
b. Dans **ID local,** saisissez l’ID local de la clé prépartagée.\
c. Dans **Mot de passe,** saisissez le mot de passe de la clé prépartagée.

<div align="left" data-with-frame="true"><img src="https://881676661-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-58c323dccfa517f11730d30ef57ba76509b3d25d%2F52714477ac348030622012c1a75f81f6c0a2daa1.png?alt=media" alt="" width="743"></div>
{% endstep %}

{% step %}
**Cliquez sur Appliquer, puis sur Confirmer pour enregistrer. Votre passerelle devrait maintenant afficher un badge VPN à côté de son nom, indiquant que la connexion a réussi.**

<div align="left" data-with-frame="true"><img src="https://881676661-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-9c3ff0b9444c8349cb53872c677efbcaadd949d4%2F6456bfcdfaad26da3ab856d426a9de6238b94223.png?alt=media" alt="" width="563"></div>
{% endstep %}
{% endstepper %}

***

## Configurer votre serveur VPN

Lors de la configuration de votre serveur VPN, vous devez définir des paramètres spécifiques pour établir le tunnel VPN et permettre le transfert de données entre le serveur et le client.

#### Type de routage VPN pris en charge

* Routage basé sur des règles

#### Version d’échange de clés prise en charge

* IKEv2

{% hint style="warning" %}
La Perfect Forward Secrecy (PFS) n’est pas prise en charge sur les passerelles en tant que client VPN.
{% endhint %}

#### Suites de chiffrement prises en charge pour les phases 1 et 2 d’IKE

* Chiffrement
  * AES 128
  * AES 256
* Hachage
  * SHA 256
  * SHA 384
  * SHA 512
* Groupe DH
  * Groupe 14

{% hint style="info" %}
[Configurer le DDNS](https://help.verkada.com/connectivity/fr/configuration/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways) à l’aide d’un fournisseur DDNS gratuit pris en charge afin de garantir que votre VPN soit toujours connecté au client en utilisant son adresse IP publique dynamique. Ainsi, le « nom d’hôte » fourni résout toujours vers l’adresse IP publique active sur le client VPN.
{% endhint %}