IPsec-tunnelmodus brukes hovedsakelig for interoperabilitet med rutere, gatewayer eller endesystemer som ikke støtter VPN-tunnelering med L2TP-protokollen (tolags tunnelering) / Internet Protocol-sikkerhet (IPsec) eller PPTP-protokollen (punkt-til-punkt-tunnelering). IPSec-tunnelmodus støttes bare i gateway-til-gateway-tunneleringsscenarier og for enkelte konfigurasjoner av typen server-til-server eller server-til-gateway. IPsec-tunnelmodus støttes ikke for VPN-scenarier med ekstern pålogging. L2TP/IPSec eller PPTP må brukes for VPN-tilkoblinger for ekstern pålogging.
En IPsec-tunnel må defineres i begge ender av tilkoblingen. I hver ende må oppføringene for den lokale tunneldatamaskinen og den eksterne tunneldatamaskinen byttes (ettersom den lokale datamaskinen i enden av tunnelen er den eksterne datamaskinen i den andre enden, og omvendt).
Bruk Windows-brannmur med avansert sikkerhet til å utføre Layer 3-tunnelering for scenarier der L2TP ikke kan brukes. Hvis du bruker L2TP for ekstern kommunikasjon, kreves det ingen IPsec-tunnelkonfigurasjon fordi VPN-komponentene for klient og server i denne versjonen av Windows automatisk oppretter reglene for å sikre L2TP-trafikk.
Bruk denne veivisersidene til å konfigurere typen IPsec-tunnel du vil opprette. En IPsec-tunnel brukes vanligvis til å koble et privat nettverk bak en gateway til en ekstern klient eller ekstern gateway med et annet privat nettverk. IPsec-tunnelmodus beskytter en datapakke ved å innkapsle hele datapakken i en IPsec-beskyttet pakke og deretter rute den IPsec-beskyttede pakken mellom tunnelendepunktene. Når datapakken kommer til målendepunktet, pakkes den ut og rutes til det endelige målet.
 | Slik åpner du denne veivisersiden |
I MMC-snapin-modulen Windows-brannmur med avansert sikkerhet høyreklikker du Sikkerhetsregler for tilkobling og klikker deretter Ny regel.
Velg Tunnel på Regeltype-siden.
Velg Tunneltype under Trinn.
Egendefinert konfigurasjon
Velg dette alternativet for å aktivere alle alternativene for endepunktkonfigurasjon på siden Tunnelendepunkter – Egendefinert konfigurasjon. Du kan angi IP-adressene for datamaskinene som fungerer som tunnelendepunkter, og datamaskinene som befinner seg i private nettverk bak hvert tunnelendepunkt. Hvis du vil ha mer informasjon, se Veiviser for sikkerhetsregler for tilkobling: siden Tunnelendepunkter - Egendefinert konfigurasjon.
Klient-til-gateway
Velg dette alternativet hvis du vil opprette en regel for en klientdatamaskin som må kobles til en ekstern gateway, og datamaskinene bak gatewayen i et privat nettverk.
Når klienten sender en nettverkspakke til en datamaskin i det eksterne private nettverket, bygger IPsec datapakken inn i en IPsec-pakke som adresseres til den eksterne gatewayadressen. Gatewayen pakker ut pakken og ruter den deretter til måldatamaskinen i det private nettverket.
Hvis du velger dette alternativet, kan du bare konfigurere den offentlige IP-adressen for gatewaydatamaskinen og IP-adressene for datamaskinene i det private nettverket. Hvis du vil ha mer informasjon, se Veiviser for sikkerhetsregler for tilkobling: siden Tunnelendepunkter - Klient til gateway.
Gateway-til-klient
Velg dette alternativet hvis du vil opprette en regel for en gatewaydatamaskin som er knyttet til både et privat nettverk og et offentlig nettverk som den mottar nettverkstrafikk fra eksterne klienter via.
Når klienten sender en nettverkspakke til en datamaskin i det private nettverket, bygger IPsec datapakken inn i en IPsec-pakke som adresseres til den offentlige IP-adressen for denne gatewaydatamaskinen. Når gatewaydatamaskinen mottar pakken, pakkes den ut og rutes til måldatamaskinen i det private nettverket.
Når en datamaskin i det eksterne private nettverket må svare til klientdatamaskinen, rutes datapakken til gatewaydatamaskinen. Gatewaydatamaskinen bygger datapakken inn i en IPsec-pakke som adresseres til den eksterne klientdatamaskinen, og deretter rutes IPsec-pakken til den eksterne klientdatamaskinen via det offentlige nettverket.
Hvis du velger dette alternativet, kan du bare konfigurere den adressene til datamaskiner i det private nettverket og den offentlige IP-adressen for gatewaydatamaskinen. Hvis du vil ha mer informasjon, se Veiviser for sikkerhetsregler for tilkobling: siden Tunnelendepunkter - Gateway til klient.
Unnta IPsec-beskyttede tilkoblinger
Av og til kan det hende at en nettverkspakke oppfyller flere sikkerhetsregler for tilkobling. Hvis en av reglene oppretter en IPsec-tunnel, kan du velge om du vil bruke tunnelen eller sende pakken utenfor tunnelen som er beskyttet av den andre regelen.
Ja
Velg dette alternativet hvis tilkoblingen allerede er beskyttet av en annen sikkerhetsregel for tilkobling, og du ikke vil at nettverkspakken skal gå gjennom IPsec-tunnelen. All nettverkstrafikk som er beskyttet av ESP-protokollen (Encapsulating Security Payload), inkludert ESP Null, forhindres fra å gå gjennom tunnelen.
Nei
Velg dette alternativet hvis du vil at alle nettverkspakker som oppfyller tunnelregelen, skal gå gjennom tunnelen selv når de er beskyttet av en annen sikkerhetsregel for tilkobling.