Le mode de tunnel IPsec s’utilise principalement pour l’interopérabilité entre les routeurs, passerelles ou systèmes finaux qui ne prennent pas en charge le tunneling VPN PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol)/IPsec (Internet Protocol security). Le mode de tunnel IPsec n’est pris en charge que pour le tunneling de passerelle à passerelle et pour certaines configurations de type serveur à serveur ou serveur à passerelle. Il n’est pas pris en charge dans les configurations VPN d’accès à distance. Les connexions VPN d’accès à distance nécessitent l’emploi de L2TP/IPsec ou de PPTP.
Un tunnel IPsec doit être défini aux deux extrémités de la connexion. À chaque extrémité, les entrées de l’ordinateur tunnel local et de l’ordinateur tunnel distant doivent être inversées (car l’ordinateur local à une extrémité du tunnel est l’ordinateur distant à l’autre extrémité, et vice versa).
Utilisez le Pare-feu Windows avec sécurité avancée pour effectuer le tunneling Layer 3 pour les scénarios dans lesquels L2TP ne peut pas être utilisé. Si vous utilisez L2TP pour les communications à distance, une configuration en tunnel IPsec n’est pas requise car les composants VPN client et serveur de cette version de Windows créent automatiquement les règles pour sécuriser le trafic L2TP
Utilisez cette page de l’Assistant pour configurer le type de tunnel IPsec que vous souhaitez créer. Un tunnel IPsec est généralement employé pour connecter un réseau privé derrière une passerelle à un client distant ou à une passerelle distante sur un autre réseau privé. Le mode de tunnel IPsec protège les paquets de données en encapsulant l’intégralité du paquet dans un paquet protégé par IPsec, puis en routant ce paquet entre les points de terminaison du tunnel. À son arrivée au point de terminaison de destination, le paquet de données est extrait puis routé vers sa destination finale.
 | Pour accéder à cette page de l’Assistant |
Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, cliquez avec le bouton droit sur Règles de sécurité de connexion, puis cliquez sur Nouvelle règle.
Dans la page Type de règle, sélectionnez Tunnel.
Dans Étapes, sélectionnez Type de tunnel.
Configuration personnalisée
Cette option vous permet d’activer toutes les options de configuration de point de terminaison dans la page Points de terminaison du tunnel - Configuration personnalisée. Vous pouvez spécifier les adresses IP des ordinateurs qui servent de points de terminaison du tunnel et des ordinateurs qui se trouvent sur des réseaux privés derrière chaque point de terminaison du tunnel. Pour plus d’informations, voir Assistant Règle de sécurité de connexion : Page Points de terminaison du tunnel - Configuration personnalisée.
Client-à-passerelle
Sélectionnez cette option si vous souhaitez créer une règle pour un ordinateur client qui doit se connecter à une passerelle distante et aux ordinateurs situés derrière la passerelle sur un réseau privé.
Lorsque le client doit envoyer un paquet réseau à un ordinateur du réseau privé distant, IPsec incorpore le paquet de données dans un paquet IPsec destiné à l’adresse de la passerelle distante. Celle-ci extrait le paquet, puis l’achemine sur le réseau privé vers l’ordinateur de destination.
Si vous sélectionnez cette option, seules l’adresse IP publique de l’ordinateur passerelle et les adresses IP des ordinateurs du réseau privé peuvent être configurées. Pour plus d’informations, voir Assistant Règle de sécurité de connexion : Page Points de terminaison du tunnel - Client-à-passerelle.
Passerelle-à-client
Sélectionnez cette option si vous souhaitez créer une règle pour un ordinateur passerelle relié à un réseau privé et à un réseau public depuis lequel il reçoit du trafic réseau en provenance de clients distants.
Lorsque le client doit envoyer un paquet réseau à un ordinateur du réseau privé, IPsec incorpore le paquet de données dans un paquet IPsec destiné à l’adresse IP publique de cet ordinateur passerelle. Lorsque celui-ci reçoit le paquet, il l’extrait puis l’achemine sur le réseau privé vers l’ordinateur de destination.
Lorsqu’un ordinateur du réseau privé distant doit répondre à l’ordinateur client, le paquet de données est routé vers l’ordinateur passerelle. Celui-ci incorpore le paquet de données dans un paquet IPsec adressé à l’ordinateur client distant, puis il achemine le paquet IPsec à l’ordinateur client distant par le biais du réseau public.
Si vous sélectionnez cette option, seules les adresses des ordinateurs du réseau privé et l’adresse IP publique de l’ordinateur passerelle peuvent être configurées. Pour plus d’informations, voir Assistant Règle de sécurité de connexion : Page Points de terminaison du tunnel - Passerelle-à-client.
Exempter les connexions protégées IPsec
Il peut arriver qu’un paquet IPsec réponde aux critères de plusieurs règles de sécurité de connexion. Si l’une des règles établit un tunnel IPsec, vous pouvez choisir s’il faut utiliser le tunnel ou envoyer le paquet en dehors du tunnel protégé par l’autre règle.
Oui
Sélectionnez cette option si la connexion est déjà protégée par une autre règle de sécurité de connexion et que vous ne souhaitez pas que le paquet réseau passe par le tunnel IPsec. Toute traversée du tunnel sera interdite au trafic réseau protégé par le protocole ESP (Encapsulating Security Payload), y compris ESP Null.
Non
Sélectionnez cette option si vous souhaitez que tous les paquets de données répondant aux critères de la règle de tunnel passent par le tunnel, même s’ils sont protégés par une autre règle de sécurité de connexion.