Wählen Sie Gateway-zu-Client auf der Seite Tunneltyp aus, wenn die Verbindungssicherheitsregel für einen Computer erstellt wird, der als lokaler Tunnelendpunkt (Gateway) für Computer in einem privaten Netzwerk fungieren soll. Auf dieser Seite können Sie die IP-Adressen der Remoteclients, die einen Tunnel zu diesem Gateway aufbauen können, und der Computer konfigurieren, die sich in einem privaten Netzwerk hinter dem Gateway befinden.
Die folgende Abbildung zeigt die Komponenten, die Sie mithilfe dieser Assistentenseite konfigurieren können.
 | So öffnen Sie diese Assistentenseite |
Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.
Wählen Sie auf der Seite Regeltyp die Option Tunnel aus.
Klicken Sie unter Schritte auf Tunneltyp, und wählen Sie dann Gateway-zu-Client aus.
Klicken Sie so lange auf Weiter, bis die Seite Tunnelendpunkte angezeigt wird.
Was sind lokale Endpunkte?
Bei den lokalen Endpunkten handelt es sich um Computer, die sich im privaten Netzwerk hinter dem Gateway befinden und denen es möglich sein muss, durch den Tunnel Daten an den Remoteclient zu senden oder von diesem zu empfangen. Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds IP-Adressen eine einzelne IP-Adresse, eine IP-Subnetzadresse, einen IP-Adressbereich oder eine vordefinierte Gruppe von Computern hinzuzufügen. Zum Ändern eines Eintrags in der Liste müssen Sie das Element auswählen und dann auf Bearbeiten klicken. Zum Entfernen eines Eintrags müssen Sie das Element auswählen und dann auf Entfernen klicken.
 | Hinweis |
Im Dialogfeld IPsec-Tunnelingeinstellungen anpassen, im Befehlszeilentool Netsh und beim Auswählen von Benutzerdefinierter Konfiguration auf der Seite Tunneltyp werden die lokalen Endpunkte als Endpunkt 1 bezeichnet. |
Gateway
Der lokale Tunnelendpunkt ist der Computer, an den der Remoteclient Pakete sendet, die an einen Computer an Endpunkt 1 adressiert sind. Der lokale Tunnelendpunkt empfängt ein Netzwerkpaket vom Remoteclient, entkapselt das Originalpaket und leitet es dann an den Zielcomputer an Endpunkt 1 weiter. Sie können eine IPv4-Adresse (Internetprotokoll, Version 4), eine IPv6-Adresse (Internetprotokoll, Version 6) oder beide Adressversionen verwenden.
| Hinweis |
Die IP-Versionen der Adresse müssen an beiden Enden des Tunnels übereinstimmen. Wenn Sie beispielsweise eine IPv4-Adresse an einem Ende angegeben, muss am anderen Ende ebenfalls eine IPv4-Adresse verwendet werden. Sie können eine IPv4-Adresse und eine IPv6-Adresse angeben. Wenn Sie für ein Ende beide Adressversionen angeben, müssen Sie für das andere Ende genauso vorgehen. Sie müssen außerdem dieselben IP-Versionen für den Remotetunnelendpunkt (das Gateway) und die Remoteendpunkte hinter dem Gateway verwenden. |
Client
Für diese Option ist Beliebige IP-Adresse festgelegt; dieser Wert kann nicht geändert werden. Der Clientcomputer in diesem Szenario fungiert als Remotetunnelendpunkt und ist gleichzeitig der einzige Computer an Endpunkt 2.
So ändern Sie diese Einstellungen
Nachdem Sie die Verbindungssicherheitsregel erstellt haben, können Sie diese Einstellungen im Dialogfeld Eigenschaften von Verbindungssicherheitsregel ändern. Dieses Dialogfeld wird geöffnet, wenn Sie in Verbindungssicherheitsregeln auf eine Regel doppelklicken. Zum Ändern der Computer, die hinter dem lokalen Tunnelendpunkt erreichbar sind, müssen Sie die Registerkarte Computer verwenden und die Einstellungen für Endpunkt 1 konfigurieren. Zum Ändern des lokalen Tunnelendpunkts (des Gateways) müssen Sie auf der Registerkarte Erweitert unter IPsec-Tunneling auf Anpassen klicken und dann die Angabe unter Lokaler Tunnelendpunkt ändern.