De IPsec-tunnelmodus wordt voornamelijk gebruikt ten behoeve van gebruik met routers, gateways of eindsystemen die geen ondersteuning bieden voor VPN-tunnels die gebruikmaken van L2TP/IPsec (Layer Two Tunneling Protocol/Internet Protocol security) of PPTP (Point-to-Point Tunneling Protocol). De IPSec-tunnelmodus wordt alleen ondersteund in gateway-naar-gateway-tunnelscenario's en voor bepaalde server-naar-server- of server-naar-gateway-configuraties. De IPSec-tunnelmodus wordt niet ondersteund in VPN-scenario's voor RAS. Voor VPN-verbindingen voor RAS moet u L2TP/IPSec of PPTP gebruiken.

Een IPsec-tunnel moet aan beide kanten van de verbinding worden ingesteld. Aan elke kant moeten de vermeldingen voor de lokale tunnelcomputer en de externe tunnelcomputer worden omgewisseld (omdat de lokale computer aan de ene kant van de tunnel de externe computer aan de andere kant is, en omgekeerd).

Gebruik Windows-firewall met een geavanceerde beveiliging voor Layer 3-tunneling in scenario's waarin L2TP niet kan worden gebruikt. Als u voor externe communicatie gebruikmaakt van L2TP, hoeft u geen IPsec-tunnel te configureren. De VPN-onderdelen voor client en server in deze versie van Windows zorgen er namelijk voor dat er automatisch regels worden gemaakt voor de beveiliging van het L2TP-verkeer.

Op deze wizardpagina kunt het type IPsec-tunnel opgeven dat u wilt maken. Een IPsec-tunnel wordt gewoonlijk gebruikt om verbinding te maken tussen een particulier netwerk achter een gateway en een externe client of een externe gateway met een ander particulier netwerk. In de IPsec-tunnelmodus wordt een gegevenspakket beveiligd door het in zijn geheel in te kapselen in een met IPsec beveiligd pakket en dit met IPsec beveiligde pakket vervolgens tussen de twee eindpunten te versturen. Bij aankomst op het bestemmingseindpunt wordt het gegevenspakket geëxtraheerd en vervolgens doorgestuurd naar zijn eindbestemming.

Deze wizardpagina weergeven

  1. Klik in de MMC-module Windows-firewall met een geavanceerde beveiliging met de rechtermuisknop op Beveiligingsregels voor verbindingen en klik vervolgens op Nieuwe regel.

  2. Selecteer op de pagina Regeltype de optie Tunnel.

  3. Selecteer bij Stappen de optie Tunneltype.

Aangepaste configuratie

Selecteer deze optie als u alle opties voor de configuratie van eindpunten op de pagina Tunneleindpunten – Aangepaste configuratie wilt inschakelen. U kunt de IP-adressen opgeven van de computers die fungeren als de tunneleindpunten en de computers die zich in particuliere netwerken achter elk tunneleindpunt bevinden. Zie Wizard Nieuwe regel voor verbindingsbeveiliging: pagina Tunneleindpunten – Aangepaste configuratie voor meer informatie.

Client-naar-gateway

Selecteer deze optie als u een regel wilt maken voor een clientcomputer waarop verbinding moet worden gemaakt met een externe gateway en de computers achter die gateway in een particulier netwerk.

Wanneer de client een netwerkpakket verzendt naar een computer in het externe particuliere netwerk, wordt het gegevenspakket via IPsec ingekapseld in een IPsec-pakket dat is geadresseerd aan de externe gateway. Op de gateway wordt het pakket geëxtraheerd en vervolgens doorgestuurd naar het particuliere netwerk op de bestemmingscomputer.

Als u deze optie selecteert, kunt u alleen het openbare IP-adres van de gatewaycomputer en de IP-adressen van de computers in het particuliere netwerk opgeven. Zie Wizard Nieuwe regel voor verbindingsbeveiliging: pagina Tunneleindpunten – Client-naar-gateway voor meer informatie.

Gateway-naar-client

Selecteer deze optie als u een regel wilt maken voor een gatewaycomputer die is verbonden met een particulier netwerk en een openbaar netwerk waarvan de computer netwerkverkeer ontvangt dat afkomstig is van externe clients.

Wanneer de client een netwerkpakket verzendt naar een computer in het externe particuliere netwerk, wordt het gegevenspakket via IPsec ingekapseld in een IPsec-pakket dat wordt verzonden naar het openbare IP-adres van deze gatewaycomputer. Bij ontvangst op de gatewaycomputer wordt het pakket geëxtraheerd en vervolgens via het particuliere netwerk doorgestuurd naar de bestemmingscomputer.

Wanneer een computer in het externe particuliere netwerk een antwoord moet versturen naar de clientcomputer, wordt het gegevenspakket naar de gatewaycomputer gestuurd. Op de gatewaycomputer wordt het gegevenspakket ingekapseld in een IPsec-pakket dat is geadresseerd aan de externe clientcomputer. Vervolgens wordt het IPsec-pakket via het openbare netwerk naar de externe clientcomputer verzonden.

Als u deze optie selecteert, kunt u alleen de adressen van computers in het particuliere netwerk en het openbare IP-adres van de gatewaycomputer opgeven. Zie Wizard Nieuwe regel voor verbindingsbeveiliging: pagina Tunneleindpunten – Gateway-naar-client voor meer informatie.

Met IPsec beveiligde verbindingen uitzonderen

Het kan gebeuren dat een netwerkpakket voldoet aan meerdere regels voor verbindingsbeveiliging. Als op basis van een van de regels een IPsec-tunnel tot stand wordt gebracht, kunt u kiezen of u de tunnel wilt gebruiken of het pakket wilt verzenden buiten de tunnel om die met de andere regel wordt beveiligd.

Ja

Selecteer deze optie als de verbinding al via een andere regel voor verbindingsbeveiliging wordt beveiligd en u het netwerkpakket niet via de IPsec-tunnel wilt verzenden. Netwerkverkeer dat wordt beveiligd met het ESP-protocol (Encapsulating Security Payload), met inbegrip van ESP Null, wordt niet via de tunnel verzonden.

Nee

Selecteer deze optie als u wilt dat alle netwerkpakketten die aan de tunnelregel voldoen via de tunnel worden verzonden, ook al worden ze beveiligd met een andere regel voor verbindingsbeveiliging.

Aanvullende naslaginformatie

Inhoudsopgave