# IPsecサイト間VPNを有効にする

Verkadaゲートウェイは、サイト間IPSec IKEv2 VPNクライアントとして動作できます。これにより、ゲートウェイはIPsec VPNサーバーに接続し、暗号化されたトラフィックをルーティングできます。ゲートウェイは、VPN経由で接続されたデバイスからのトラフィックのみをルーティングできます。接続されたデバイストラフィックがインターネットおよびVPNトンネル内を経由してルーティングされるように、VPNサーバー側で適切なegressルールとNATルールを設定する必要があります。

{% hint style="info" %}
の設定を強く推奨します [ダイナミックDNS ](https://help.verkada.com/connectivity/ja/she-ding/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways)静的なパブリックIPを持たないSIMカードを使用している場合は、ゲートウェイ上で有効にしてください。これにより、動的なパブリックIPが割り当てられた際にVPNが切断されたり非アクティブになったりするのを防げます。
{% endhint %}

***

## ゲートウェイでIPsec VPNを設定する

{% stepper %}
{% step %}
**Verkada Commandで、［すべての製品］>［ゲートウェイ］に移動します。**
{% endstep %}

{% step %}
**設定するゲートウェイを選択します。**
{% endstep %}

{% step %}
**右上の［設定］をクリックします。**
{% endstep %}

{% step %}
**［ネットワーク］>［IPsec VPN］で、［IPSec VPNを有効にする］をオンにします。**

<div align="left" data-with-frame="true"><img src="https://1705908483-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-7cc6c8485e3f801a909748aea731f8adfab2b674%2F56663e03fc1e83382655a50c1b4706601944eebb.png?alt=media" alt="" width="742"></div>
{% endstep %}

{% step %}
**［サーバー］欄に、VPNサーバーのIPまたはドメイン名を入力します。**
{% endstep %}

{% step %}
**ゲートウェイは2種類の認証方式に対応しています：**

a.（手順7を参照） **証明書**：必要 *証明機関* 証明書、 *クライアント* *証明書、* および *キー。*\
b.（手順8を参照） **事前共有キー**：共有キーが必要です。
{% endstep %}

{% step %}
**［認証］のドロップダウンで、［証明書］を選択します。**

a.［ **リモートID］に、** リモート証明書の *subjectAltName* または *subject DN*を入力します。\
b.［ **ローカルID］に、** ローカル証明書を入力します。 *subjectAltName* または *subject DN*.

<div align="left" data-with-frame="true"><img src="https://1705908483-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-efa796db1a5a3a87f97bc95e934f6061a86d749d%2F3880a1d563efb82e43c81a90bb2ccaf071e98583.png?alt=media" alt="" width="743"></div>

c.［ **クライアントキー］、** **クライアント証明書**、および **証明機関** 証明書を *.pem* 形式でアップロードします。 **注：** クライアントキーと証明書の生成方法、および証明機関の設定方法については、 [こちら](https://docs.strongswan.org/docs/5.9/pki/pkiQuickstart.html)をご覧ください。\
d. 手順9に進みます。
{% endstep %}

{% step %}
**［認証］のドロップダウンで、［事前共有キー］を選択します。**

a.［ **リモートID］に、** 事前共有キーのリモートIDを入力します。\
b.［ **ローカルID］に、** 事前共有キーのローカルIDを入力します。\
c.［ **パスワード］に、** 事前共有キーのパスワードを入力します。

<div align="left" data-with-frame="true"><img src="https://1705908483-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-58c323dccfa517f11730d30ef57ba76509b3d25d%2F52714477ac348030622012c1a75f81f6c0a2daa1.png?alt=media" alt="" width="743"></div>
{% endstep %}

{% step %}
**［適用］をクリックし、次に［確認］をクリックして保存します。これで、ゲートウェイ名の横にVPNバッジが表示され、接続が成功したことを示します。**

<div align="left" data-with-frame="true"><img src="https://1705908483-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FiAGnzScvko5PkG7YBy3i%2Fuploads%2Fgit-blob-9c3ff0b9444c8349cb53872c677efbcaadd949d4%2F6456bfcdfaad26da3ab856d426a9de6238b94223.png?alt=media" alt="" width="563"></div>
{% endstep %}
{% endstepper %}

***

## VPNサーバーを設定する

VPNサーバーを設定する際は、VPNトンネルを確立し、サーバーとクライアント間のデータ転送を有効にするために、特定の詳細を設定する必要があります。

#### 対応するVPNルーティングタイプ

* ポリシーベースルーティング

#### 対応するキー交換バージョン

* IKEv2

{% hint style="warning" %}
VPNクライアントとしてのゲートウェイでは、Perfect Forward Secrecy（PFS）はサポートされていません。
{% endhint %}

#### IKEフェーズ1およびフェーズ2で対応する暗号スイート

* 暗号化
  * AES 128
  * AES 256
* ハッシュ
  * SHA 256
  * SHA 384
  * SHA 512
* DHグループ
  * グループ14

{% hint style="info" %}
[DDNSを設定する](https://help.verkada.com/connectivity/ja/she-ding/add-cellular-gateway-to-command/set-up-dynamic-dns-for-cellular-gateways) 対応している無料のDDNSプロバイダーを使用して、VPNが常にクライアントの動的パブリックIPアドレスを使って接続されるようにします。これにより、提供された「ホスト名」は常にVPNクライアント上のアクティブなパブリックIPアドレスに解決されます。
{% endhint %}