IPsec-tunneltilstand bruges primært til at sikre kompatibilitet med routere, gateways eller slutsystemer, der ikke understøtter L2TP/IPsec eller PPTP VPN-tunnelføring (L2TP - Layer Two Tunneling Protocol, IPsec - IP-sikkerhed, PPTP - Point-to-Point Tunneling Protocol). IPSec-tunneltilstand understøttes kun i forbindelse med gateway til gateway-tunnelføring og visse server til server- eller server til gateway-konfigurationer. IPSec-tunneltilstand understøttes ikke i forbindelse med fjernadgang via virtuelle private netværk (VPN). Brug i stedet L2TP/IPsec eller PPTP til fjernadgang via VPN-forbindelser.
Du skal definere en IPsec-tunnel i hver ende af forbindelsen. I hver ende skal posterne til den lokale tunnelcomputer og fjerntunnelcomputeren byttes om, fordi den lokale computer i den ene ende af tunnelen er fjerncomputeren i den anden ende og omvendt.
Brug Windows Firewall med avanceret sikkerhed til at udføre Layer 3 Tunneling i de situationer, hvor L2TP ikke kan bruges. Hvis du bruger L2TP til fjernkommunikation, er det ikke nødvendigt at konfigurere en IPsec-tunnel, da både klient- og server-VPN-komponenterne i denne version af Windows automatisk opretter reglerne til sikring af L2TP-trafik.
Brug denne side i guiden til at konfigurere den type IPsec-tunnel, du vil oprette. En IPsec-tunnel bruges typisk til at oprette et privat netværk bag ved en gateway til enten en fjernklient eller en ekstern gateway med et andet privat netværk. IPsec-tunneltilstand beskytter en datapakke ved at indkapsle hele datapakken i en IPsec-beskyttet pakke og derefter sende den IPsec-beskyttede pakke mellem tunnelslutpunkterne. Når pakken ankommer til destinationens slutpunkt, pakkes pakken ud og sendes derefter til den endelige destination.
 | Sådan finder du denne side i guiden |
Højreklik på Regler for forbindelsessikkerhed i MMC-snap-in'en Windows Firewall med avanceret sikkerhed, og klik derefter på Ny regel.
Vælg Tunnel på siden Regeltype.
Vælg Tunneltype under Trin.
Brugerdefineret konfiguration
Vælg denne indstilling for at aktivere alle slutpunkternes konfigurationsindstillinger på siden Tunnelslutpunkter - Brugerdefineret konfiguration. Du kan angive IP-adresserne på de computere, der fungerer som tunnelslutpunkter, og de computere, der er placeret på private netværk bag ved hvert tunnelslutpunkt. Du kan finde flere oplysninger under Guiden Regler for forbindelsessikkerhed: siden Tunnelslutpunkter - Brugerdefineret konfiguration.
Klient til gateway
Vælg denne indstilling, hvis du vil oprette en regel til en klientcomputer, der skal oprette forbindelse til en ekstern gateway og computerne bag ved gatewayen på et privat netværk.
Når klienten sender en netværkspakke til en computer på det eksterne private netværk, integreres datapakken i en IPsec-pakke, der er adresseret til den eksterne gatewayadresse. Gatewayen pakker pakken ud og sender den derefter via det private netværk til destinationscomputeren.
Hvis du vælger denne indstilling, kan du kun konfigurere den offentlige IP-adresse på gatewaycomputeren og IP-adresserne på computerne på det private netværk. Du kan finde flere oplysninger under Guiden Regler for forbindelsessikkerhed: siden Tunnelslutpunkter - Klient til gateway.
Gateway til klient
Vælg denne indstilling, hvis du vil oprette en regel til en gatewaycomputer, som både er knyttet til et privat netværk og et offentligt netværk, hvorfra den modtager netværkstrafik fra fjernklienter.
Når klienten sender en netværkspakke til en computer på det private netværk, integrerer IPsec datapakken i en IPsec-pakke, der er adresseret til den offentlige IP-adresse på gatewaycomputeren. Når gatewaycomputeren modtager pakken, pakkes den ud og sendes derefter via det private netværk til destinationscomputeren.
Når en computer på det eksterne private netværk skal besvare klientcomputeren, sendes datapakken til gatewaycomputeren. Gatewaycomputeren integrerer datapakken i en IPsec-pakke, der er adresseret til den eksterne klientcomputer og sender derefter IPsec-pakken via det offentlige netværk til den eksterne klientcomputer.
Hvis du vælger denne indstilling, kan du kun konfigurere adresserne på computerne på det private netværk og den offentlige IP-adresse på gatewaycomputeren. Du kan finde flere oplysninger under Guiden Regler for forbindelsessikkerhed: siden Tunnelslutpunkter - Gateway til klient.
Udelad IPsec-beskyttede forbindelser
Nogle gange kan en netværkspakke overholde mere end én regel for forbindelsessikkerhed. Hvis en af reglerne opretter en IPsec-tunnel, kan du vælge at bruge tunnellen eller at sende pakken uden for tunnellen beskyttet af en anden regel.
Ja
Vælg denne indstilling, hvis forbindelsen allerede er beskyttet af en anden regel for forbindelsessikkerhed, og du ikke ønsker, at netværkspakken skal sendes via IPsec-tunnellen. Al netværkstrafik, der er beskyttet af ESP-protokollen (Encapsulating Security Payload), herunder ESP Null, forhindres i at passere via tunnellen.
Nej
Vælg denne indstilling, hvis du ønsker, at alle netværkspakker, der overholder tunnelreglen, skal sendes via tunnellen, selvom de er beskyttet af en anden regel for forbindelsessikkerhed.