IPsec ermöglicht das Layer 3-Tunneling für Szenarios, in denen das Layer Two Tunneling-Protokoll (L2TP) nicht verwendet werden kann. Wenn Sie L2TP für die Remotekommunikation verwenden, ist keine Tunnelkonfiguration erforderlich, da die Client- und Server-VPN-Komponenten von Windows die Regeln zum Sichern des L2TP-Datenverkehrs automatisch erstellen.
Zum Erstellen eines Layer 3-Tunnels mit IPSec verwenden Sie das IP-Sicherheitsrichtlinien-Snap-In oder das Gruppenrichtlinien-Snap-In, um die folgenden zwei Regeln für die entsprechende Richtlinie zu konfigurieren und zu aktivieren:
- Eine Regel für den ausgehenden Datenverkehr für den Tunnel. Die Regel für den ausgehenden Datenverkehr wird mit einer Filterliste konfiguriert. Diese beschreibt den Datenverkehr, der durch den Tunnel und einen Tunnelendpunkt einer IP-Adresse gesendet wird, der auf dem IPSec-Tunnelpeer konfiguriert wird (der Computer oder Router auf der anderen Seite des Tunnels).
- Eine Regel für den eingehenden Datenverkehr für den Tunnel. Die Regel für den eingehenden Datenverkehr wird mit einer Filterliste konfiguriert, die den Datenverkehr beschreibt, der durch den Tunnel und einen Tunnelendpunkt einer lokalen IP-Adresse (der Computer oder Router auf dieser Seite des Tunnels) empfangen werden soll.
 | Hinweis |
Sie müssen für jede Tunnelverbindung sowohl einen Filter für den eingehenden als auch für den ausgehenden Datenverkehr erstellen. Wird ein Filter nur für eine Richtung erstellt, wird die Regel nicht angewendet. |
Beim Erstellen einer Richtlinie für einen Computer, auf dem Windows Vista oder eine neuere Version von Windows ausgeführt wird, können Sie entweder eine IPv4- oder eine IPv6-Adresse angeben. Sie müssen für jede Seite des Tunnels einen Endpunkt angeben. Außerdem muss die Adressprotokollversion für beide Seiten identisch sein. Wenn Sie also für die Quellseite des Tunnels eine IPv6-Adresse angeben, müssen Sie für die Remoteseite des Tunnels ebenfalls eine IPv6-Adresse verwenden.
Für jede Regel müssen darüber hinaus Filteraktionen, Authentifizierungsmethoden und andere Einstellungen festgelegt werden.