El modo de túnel IPsec se usa principalmente para la interoperabilidad con enrutadores, puertas de enlace o sistemas finales que no son compatibles con los túneles VPN del protocolo de túnel de capa dos (L2TP)/protocolo de seguridad de Internet (IPsec) o del protocolo de túnel punto a punto (PPTP). El modo de túnel IPsec se admite solo en casos de túneles entre puertas de enlace y para determinadas configuraciones entre servidores o de servidor a puerta de enlace. El modo de túnel IPsec no se admite para escenarios de VPN con acceso remoto. Para las conexiones VPN de acceso remoto debe usarse L2TP/IPsec o PPTP.
Un túnel IPsec debe definirse en los dos extremos de la conexión. En cada extremo, las entradas para el equipo local y el equipo remoto del túnel deben intercambiarse (puesto que el equipo local en un extremo del túnel es el equipo remoto en el otro extremo y viceversa).
Use Firewall de Windows con seguridad avanzada para establecer túneles de capa tres para escenarios en los que no se puede usar L2TP. Si se usa L2TP para comunicaciones remotas, no es necesario configurar ningún túnel IPsec, ya que los componentes cliente y servidor de VPN en esta versión de Windows crean automáticamente las reglas para proteger el tráfico L2TP.
Use esta página del asistente para configurar el tipo de túnel IPsec que desea crear. Un túnel IPsec se usa generalmente para conectar una red privada detrás de una puerta de enlace a un cliente o una puerta de enlace remotos a través de otra red privada. El modo de túnel IPsec protege un paquete de datos encapsulando todo el paquete de datos dentro de un paquete con protección IPsec y enrutando el paquete protegido por IPsec entre los extremos del túnel. Cuando llega al extremo de destino, el paquete de datos se extrae y luego se enruta a su destino final.
 | Para tener acceso a esta página del asistente |
En el complemento MMC Firewall de Windows con seguridad avanzada, haga clic con el botón secundario en Reglas de seguridad de conexión y, a continuación, en Nueva regla.
En la página Tipo de regla, seleccione Túnel.
En Pasos, seleccione Tipo de túnel.
Configuración personalizada
Seleccione esta opción para habilitar todas las opciones de configuración de extremo de la página Extremos de túnel – Configuración personalizada. Puede especificar las direcciones IP de los equipos que hacen de extremos del túnel y los equipos que se encuentran en redes privadas detrás de cada extremo del túnel. Para obtener más información, vea Asistente para reglas de seguridad de conexión: página Extremos de túnel, Configuración personalizada.
De cliente a puerta de enlace
Seleccione esta opción si desea crear una regla para un equipo cliente que debe conectarse a una puerta de enlace remota y los equipos detrás de la puerta de enlace en una red privada.
Cuando el cliente envía un paquete de red a un equipo de la red privada remota, IPsec incrusta el paquete de datos en un paquete IPsec que se dirige a la dirección de la puerta de enlace remota. La puerta de enlace extrae el paquete y lo enruta en la red privada hasta el equipo de destino.
Si selecciona esta opción, solo se puede configurar la dirección IP pública del equipo de puerta de enlace y las direcciones IP de los equipos de la red privada. Para obtener más información, vea Asistente para reglas de seguridad de conexión: página Extremos de túnel - De cliente a puerta de enlace.
De puerta de enlace a cliente
Seleccione esta opción si desea crear una regla para un equipo de puerta de enlace que está conectado a una red privada y a una red pública de la que recibe tráfico de red de clientes remotos.
Cuando el cliente envía un paquete de red a un equipo de la red privada, IPsec incrusta el paquete de datos en un paquete IPsec que se dirige a la dirección IP pública de este equipo de puerta de enlace. Cuando el equipo de puerta de enlace recibe el paquete, lo extrae y luego lo enruta en la red privada hasta el equipo de destino.
Cuando un equipo de la red privada remota debe responder al equipo cliente, el paquete de datos se enruta al equipo de puerta de enlace. El equipo de puerta de enlace incrusta el paquete de datos en un paquete IPsec que se dirige al equipo cliente remoto y luego enruta el paquete IPsec por la red pública hasta el equipo cliente remoto.
Si selecciona esta opción, solo se pueden configurar las direcciones de los equipos de la red privada y la dirección IP pública del equipo de puerta de enlace. Para obtener más información, vea Asistente para reglas de seguridad de conexión: página Extremos de túnel - De puerta de enlace a cliente.
Excluir conexiones protegidas por IPsec
Algunas veces un paquete de red puede coincidir con más de una regla de seguridad de conexión. Si una de las reglas establece un túnel IPsec, puede elegir si desea usar el túnel o enviar el paquete fuera del túnel protegido por la otra regla.
Sí
Seleccione esta opción si la conexión ya está protegida por otra regla de seguridad de conexión y no desea que el paquete de red pase por el túnel IPsec. Se impedirá que atraviese el túnel todo el tráfico de red que esté protegido por el protocolo de Carga de seguridad encapsuladora (ESP), incluido ESP nulo.
No
Seleccione esta opción si desea que todos los paquetes de red que coincidan con la regla de túnel pasen por el túnel aunque estén protegidos por otra regla de seguridad de conexión.