# Túnel VPN sitio a sitio
### Conectar software autohospedado mediante VPN sitio a sitio
Permita que Violet se conecte directamente a sus herramientas de software autohospedadas estableciendo un túnel de Red Privada Virtual (VPN) sitio a sitio. Esto proporciona una conexión segura, cifrada y punto a punto que oculta su dirección IP. Las VPN sitio a sitio utilizan el protocolo IPsec para cifrar los datos.
Las siguientes instrucciones describen la configuración para una VPN sitio a sitio con una instancia VioletGov (alojada en AWS GovCloud).
#### Paso 1. Intercambio de información
**Primero, proporcione lo siguiente a su punto de contacto de Violet:**
* IP pública estática de su dispositivo VPN (no debe estar detrás de NAT)
* Su ASN (si usa BGP) o la lista de bloques CIDR internos (si enrutamiento estático)
**Violet proporcionará lo siguiente:**
* IP(s) pública(s) de AWS de los extremos del túnel VPN (2 túneles, redundantes)
* Claves precompartidas (una por túnel)
* Direcciones IP internas del túnel (para BGP o enrutamiento estático)
* ASN de AWS (predeterminado 64512 a menos que se anule)
* Rangos CIDR de la VPC
Tenga en cuenta que su configuración debe permitir UDP 500/4500 y ESP a través de su firewall externo (consulte la sección siguiente sobre requisitos mínimos de AWS GovCloud para más información).
***
#### Paso 2. Creación del túnel VPN
Primero, el equipo de Violet:
1. Creará un **Customer Gateway** objeto (apuntando a la IP pública y ASN del cliente)
2. Creará un **VPN Gateway** (VGW) o utilizará un **Transit Gateway** adjunto a la VPC
3. Creará un **Conexión VPN** entre el VGW/TGW y el Customer Gateway
4. Compartirá el **archivo de configuración VPN** (XML o texto) que genera AWS, adaptado a proveedores comunes (Cisco, Palo Alto, Fortinet, etc.)
***
#### Paso 3. Configure su dispositivo
A continuación, deberá configurar su dispositivo (firewall/enrutador) de la siguiente manera:
* Importe o configure manualmente los dos túneles utilizando las IPs, las PSK y los parámetros proporcionados por AWS.
* Asegúrese de que el dominio de cifrado (su CIDR interno) coincida con lo acordado.
* Configure cualquiera de los siguientes:
* **BGP**: anuncie sus prefijos y acepte los CIDR de la VPC de AWS.
* **Rutas estáticas**: agregue los CIDR de la VPC de AWS en las ACL criptográficas de la VPN.
***
#### Paso 4. Verificación
La conexión ahora debería estar lista para ser probada y verificada. Para ello, necesitaremos:
* Hacer ping entre subredes internas
* Confirmar que su túnel aparece como **ACTIVO** en su dispositivo
* Probar la conmutación por error bajando un túnel (AWS mantiene dos para redundancia)
***
#### Recursos adicionales
Requisitos mínimos de AWS GovCloud
GovCloud requiere criptografía más fuerte que AWS comercial. Los requisitos mínimos son los siguientes:
* **IKE (Fase 1)**
* AES-128 o AES-256
* SHA-256 o más fuerte (SHA-1 no permitido)
* Grupo DH 14 (2048 bits) o superior
* Tiempo de vida: 28.800 s (8 h)
* **IPsec (Fase 2)**
* AES-128 o AES-256
* SHA-256 o más fuerte
* PFS (Grupo DH 14+) requerido
* Tiempo de vida: 3.600 s (1 h)
* **Puertos/protocolos:** UDP 500, UDP 4500, protocolo IP 50 (ESP) - necesario para el intercambio de claves entre túneles
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.violetlabs.com/es/recursos/administrativo/conectar-software-autoalojado/tunel-vpn-sitio-a-sitio.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.