Tunelový režim protokolu IPsec se používá především k zajištění součinnosti se směrovači, bránami nebo koncovými systémy, které nepodporují protokol L2TP (Layer Two Tunneling Protocol)/IPsec (Internet Protocol security) nebo tunel VPN pomocí protokolu PPTP (Point-to-Point Tunneling Protocol). Tunelový režim protokolu IPsec je podporován pouze ve scénářích s vytvořením tunelu mezi bránami a pro určité konfigurace s propojením mezi dvěma servery a mezi serverem a bránou. Tunelový režim protokolu IPsec není podporován pro scénáře VPN se vzdáleným přístupem. Pro připojení VPN se vzdáleným přístupem by se měl použít protokol L2TP/IPsec nebo PPTP.
Tunelový režim protokolu IPsec musí být definován na obou koncích připojení. Na každém z konců je třeba zaměnit položky místního počítače tunelu a vzdáleného počítače tunelu (protože místní počítač na jednom konci tunelu je vzdáleným počítačem na druhém konci a naopak).
Ve scénářích, kde nelze použít protokol L2TP, použijte modul snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením k provedení tunelového propojení vrstvy 3. Jestliže pro vzdálenou komunikaci používáte protokol L2TP, není zapotřebí žádné konfigurace tunelového režimu protokolu IPsec, protože komponenty klienta a serveru virtuální privátní sítě VPN v této verzi systému Windows vytvářejí pravidla pro zabezpečení přenosů L2TP automaticky.
Tuto stránku průvodce lze použít ke konfiguraci typu tunelového režimu protokolu IPsec, který chcete vytvořit. Tunelový režim protokolu IPsec se obvykle používá k připojení privátní sítě za bránou buď ke vzdálenému klientu nebo vzdálené bráně s jinou privátní sítí. V tunelovém režimu protokolu IPsec jsou datové pakety chráněny zapouzdřením celého datového paketu do paketu chráněného protokolem IPsec a následným směrováním tohoto chráněného paketu mezi oběma koncovými body tunelu. Jakmile dorazí do cílového koncového bodu, je datový paket extrahován a směrován do cílového umístění.
 | Postup pro zobrazení této stránky průvodce |
V modulu snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením konzoly MMC klikněte pravým tlačítkem na položku Pravidla zabezpečení připojení a poté klikněte na příkaz Nové pravidlo.
Na stránce Typ pravidla vyberte možnost Tunel.
V části Kroky vyberte položku Typ tunelového propojení.
Vlastní konfigurace
Výběrem této možnosti povolíte všechny možnosti konfigurace koncového bodu na stránce Koncové body tunelu - Vlastní konfigurace. Je možné zadat IP adresy počítačů, které slouží jako koncové body tunelu a počítačů umístěných v privátních sítích za jednotlivými koncovými body tunelu. Další informace naleznete v tématu Průvodce vytvořením pravidla pro zabezpečení připojení: Stránka Koncové body tunelu - Vlastní konfigurace.
Klient-brána
Tuto možnost vyberte, pokud chcete vytvořit pravidlo pro klientský počítač, který se musí připojovat ke vzdálené bráně a počítačům za touto bránou v privátní síti.
Jakmile klient odešle síťový paket počítači ve vzdálené privátní síti, protokol IPsec vloží datový paket do paketu IPsec adresovaného vzdálené bráně. Brána paket extrahuje a nasměruje jej do privátní sítě k cílovému počítači.
Pokud tuto možnost vyberete, lze konfigurovat pouze veřejnou IP adresu počítače brány a IP adresy počítačů v privátní síti. Další informace naleznete v tématu Průvodce vytvořením pravidla pro zabezpečení připojení: Stránka Koncové body tunelu - Klient-brána.
Brána-klient
Tuto možnost vyberte, pokud chcete vytvořit pravidlo pro počítač brány připojený jak k privátní síti, tak k veřejné síti, ze které přijímá přenosy od vzdálených klientů.
Když klient odešle síťový paket počítači v privátní síti, protokol IPsec vloží datový paket do paketu IPsec adresovaného veřejné IP adrese tohoto počítače brány. Jakmile počítač brány tento paket přijme, extrahuje jej a nasměruje k cílovému počítači.
Pokud počítač ve vzdálené privátní síti potřebuje klientskému počítači odpovědět, je datový paket směrován k počítači brány. Počítač brány vloží datový paket do paketu IPsec adresovaného vzdálenému klientskému počítači a pak tento paket IPsec směruje přes veřejnou síť do vzdáleného klientského počítače.
Vyberete-li tuto možnost, lze konfigurovat pouze adresy počítačů v privátní síti a veřejnou IP adresu počítače brány. Další informace naleznete v tématu Průvodce vytvořením pravidla pro zabezpečení připojení: Stránka Koncové body tunelu - Brána-klient.
Vyjmout připojení chráněná protokolem IPsec
Někdy může síťový paket splňovat více pravidel zabezpečení připojení. Pokud je jedním z pravidel zajištěn tunelový režim protokolu IPsec, můžete zvolit, zda má být použit tunel nebo má být paket odeslán mimo tunel, chráněný jiným pravidlem.
Ano
Vyberte tuto možnost, je-li připojení již chráněno jiným pravidlem zabezpečení připojení a nechcete, aby síťový paket procházel tunelem IPsec. Síťové přenosy chráněné protokolem ESP (Encapsulating Security Payload), včetně protokolu ESP Null, tunelem neprochází.
Ne
Pokud chcete, aby všechny síťové pakety splňující pravidlo tunelového propojení procházely tunelem, a to i v případě, že jsou chráněny jiným pravidlem zabezpečení připojení, vyberte tuto možnost.