Az IPsec-alagút mód elsősorban az olyan útválasztókkal, átjárókkal vagy végrendszerekkel való együttműködésre használható, amelyek nem támogatják a virtuális magánhálózatok L2TP/IPsec vagy PPTP protokollon alapuló alagútjait. Az IPsec-alagút mód csak átjárók közötti alagutak esetén, valamint egyes kiszolgálók között vagy kiszolgálók és átjárók között felépített konfigurációkban használható. Az IPSec-alagút mód nem használható a virtuális magánhálózatot táveléréssel használó ügyfelek esetén. A virtuális magánhálózatok távoli hozzáférése esetén az L2TP/IPSec vagy a PPTP protokoll alkalmazható.
Az IPsec-alagutat a kapcsolat mindkét végén meg kell határozni. A helyi alagút számítógépének és a távoli alagút számítógépének bejegyzéseit mindkét végén fel kell cserélni (mivel ugyanaz a számítógép az alagút egyik végén a helyi számítógép, a másik végén pedig a távoli, és fordítva).
A Fokozott biztonságú Windows tűzfal használatával létrehozhatja a 3. rétegű alagutat olyan helyzetekben, ahol az L2TP nem használható. Amennyiben a távkommunikációhoz L2TP-protokollt használ, nincs szükség az IPsec-alagút konfigurálására, mivel a Windows jelenlegi verziójának virtuális magánhálózati ügyfél- és kiszolgáló-összetevői automatikusan létrehozzák a biztonságos L2TP-forgalomhoz szükséges szabályokat.
Ezzel a varázslóval konfigurálhatja a létrehozni kívánt IPsec-alagutat. Általában akkor használnak IPsec-alagutat, ha az átjáró mögötti magánhálózatot kívánják csatlakoztatni távoli ügyfélhez vagy egy másik magánhálózathoz kapcsolódó távoli átjáróhoz. Az IPsec-alagút mód az adatcsomagokat úgy védi, hogy a teljes adatcsomagot egy IPsec által védett csomagba ágyazza be, majd az IPsec által védett csomagot az alagútvégpontok között irányítja. Ha elér a célvégpontba, az adatcsomagot a rendszer kibontja, majd a végső célpontba irányítja.
 | A varázslólap elérése |
A Fokozott biztonságú Windows tűzfal MMC beépülő modulban kattintson a jobb gombbal a Kapcsolatbiztonsági szabályok elemre, majd kattintson az Új szabály parancsra.
A Szabály típusa lapon válassza az Alagút lehetőséget.
A Lépések területen válassza az Alagút típusa lehetőséget.
Egyéni konfiguráció
Ezzel a beállítással az összes végponti konfigurációs beállítást engedélyezi az Alagút végpontjai lap - Egyéni beállítás oldalon. Megadhatja az alagútvégpontokként szolgáló, valamint az egyes alagútvégpontok mögötti magánhálózatokon található számítógépek IP-címét. További információt az Kapcsolatbiztonsági szabály varázsló: Alagút végpontjai lap - Egyéni beállítás című témakörben talál.
Ügyféltől átjáróhoz
Akkor válassza ezt a beállítást, ha olyan ügyfélszámítógép számára kíván szabályt létrehozni, amelynek egy távoli átjáróhoz és az átjáró mögötti magánhálózaton található számítógépekhez kell kapcsolódnia.
Amikor egy ügyfél hálózati csomagot küld a távoli magánhálózaton található egyik számítógépre, az IPsec az adatcsomagot egy olyan IPsec-csomagba ágyazza be, amely a távoli átjáró címére van címezve. Az átjáró kibontja a csomagot, és a magánhálózaton található célszámítógépre irányítja.
Ha ezt a beállítást választja, akkor csak az átjáró-számítógép nyilvános IP-címe és a magánhálózaton található számítógépek IP-címe lesz konfigurálható. További információt az Kapcsolatbiztonsági szabály varázsló: Alagút végpontjai lap - Ügyféltől átjáróhoz című témakörben talál.
Átjárótól ügyfélhez
Akkor válassza ezt a beállítást, ha magánhálózathoz és a távoli ügyfelek hálózati forgalmát fogadó nyilvános hálózathoz is csatlakozó átjáró-számítógép számára kíván szabályt létrehozni.
Amikor egy ügyfél hálózati csomagot küld a magánhálózat egyik számítógépére, az IPsec az adatcsomagot egy olyan IPsec-csomagba ágyazza be, amely ezen átjáró-számítógép nyilvános IP-címére van címezve. Amikor az átjáró-számítógép fogadja a csomagot, kibontja azt, és a magánhálózaton található célszámítógépre irányítja.
Ha a távoli magánhálózat egyik számítógépének válaszolnia kell az ügyfélszámítógépnek, az adatcsomagot a rendszer az átjáró-számítógépre irányítja. Az átjáró-számítógép az adatcsomagot egy olyan IPsec-csomagba ágyazza be, amely a távoli ügyfélszámítógép címére van címezve, majd az IPsec-csomagot a nyilvános hálózaton a távoli ügyfélszámítógépre irányítja.
Ha ezt a beállítást választja, akkor csak az átjáró-számítógép nyilvános IP-címe és a magánhálózaton található számítógépek címe lesz konfigurálható. További információt az Kapcsolatbiztonsági szabály varázsló: Alagút végpontjai lap - Átjárótól ügyfélhez című témakörben talál.
Kizárt, IPsec-védelemmel rendelkező kapcsolatok
Előfordulhat, hogy egy hálózati csomag több kapcsolatbiztonsági szabálynak is megfelel. Ha az egyik szabály létrehoz egy IPsec-alagutat, eldöntheti, hogy ezt az alagutat használja, vagy az alagúton kívülre küldi a csomagot a másik szabály védelme alatt.
Igen
Akkor válassza ezt a beállítást, ha a kapcsolatot már védi egy másik kapcsolatbiztonsági szabály, és nem szeretné, hogy a hálózati csomag áthaladjon az IPsec-alagúton. Semmilyen hálózati forgalom nem haladhat át az alagúton, amelyet az ESP (illetve az ESP Null) protokoll véd.
Nem
Akkor válassza ezt a beállítást, ha azt szeretné, hogy az alagútszabálynak megfelelő minden hálózati csomag áthaladjon az alagúton, akkor is, ha a kapcsolatot már védi egy másik kapcsolatbiztonsági szabály.