La modalità tunnel IPsec viene principalmente utilizzata per interoperabilità con router, gateway o sistemi finali che non supportano il tunneling VPN Layer Two Tunneling Protocol (L2TP)/Internet Protocol Security (IPsec) o Point-to-Point Tunneling Protocol (PPTP). La modalità tunnel IPSec è supportata solo in scenari di tunneling da gateway a gateway e per determinate configurazioni da server a server o da server a gateway. La modalità tunnel IPSec non è supportata per gli scenari VPN di accesso remoto. Per le connessioni VPN di accesso remoto è consigliabile utilizzare L2TP/IPSec o PPTP.
Un tunnel IPsec deve essere definito a entrambe le estremità della connessione. A ogni estremità, le voci per il computer del tunnel locale e per il computer del tunnel remoto devono essere invertite, poiché il computer locale a un'estremità del tunnel è il computer remoto all'altra estremità e viceversa.
Utilizzare Windows Firewall con sicurezza avanzata per eseguire il tunneling di livello 3 negli scenari in cui non è possibile utilizzare L2TP. Se si utilizza L2TP per le comunicazioni remote, non sarà necessaria alcuna configurazione del tunnel IPsec poiché i componenti VPN client e server di questa versione di Windows creano le regole appropriate per proteggere automaticamente il traffico L2TP.
Utilizzare questa pagina della procedura guidata per configurare il tipo di tunnel IPsec che si desidera creare. Un tunnel IPsec viene in genere utilizzato per connettere una rete privata dietro un gateway a un client remoto o a un gateway remoto con un'altra rete privata. La modalità tunnel IPsec protegge un pacchetto di dati incapsulando l'intero pacchetto di dati all'interno di un pacchetto protetto da IPsec e quindi indirizzando il pacchetto protetto da IPsec tra gli endpoint del tunnel. Quando arriva all'endpoint di destinazione, il pacchetto di dati viene estratto e quindi indirizzato alla destinazione finale.
 | Per accedere a questa pagina della procedura guidata |
Nello snap-in MMC Windows Firewall con sicurezza avanzata fare clic con il pulsante destro del mouse su Regole di sicurezza delle connessioni e quindi scegliere Nuova regola.
Nella pagina Tipo di regola fare clic su Tunnel.
In Passaggi selezionare Tipo di tunnel.
Configurazione personalizzata
Selezionare questa opzione per attivare tutte le opzioni di configurazione degli endpoint nella pagina Endpoint del tunnel – Configurazione personalizzata. È possibile specificare gli indirizzi IP dei computer che servono come endpoint del tunnel e i computer presenti in reti private dietro ogni endpoint del tunnel. Per ulteriori informazioni, vedere Procedura guidata per la creazione di una nuova regola di sicurezza della connessione: pagina Endpoint tunnel – Configurazione personalizzata.
Da client a gateway
Selezionare questa opzione se si desidera creare una regola per un computer client che deve connettersi a un gateway remoto e i computer dietro il gateway in una rete privata.
Quando il client invia un pacchetto di rete a un computer nella rete privata remota, IPsec incorpora il pacchetto di dati all'interno di un pacchetto IPsec indirizzato all'indirizzo del gateway remoto. Il gateway estrae il pacchetto e lo indirizza nella rete privata al computer di destinazione.
Se si seleziona questa opzione, è possibile configurare solo l'indirizzo IP pubblico del computer gateway e gli indirizzi IP dei computer nella rete privata. Per ulteriori informazioni, vedere Procedura guidata per la creazione di una nuova regola di sicurezza della connessione: pagina Endpoint tunnel (client-gateway).
Da gateway a client
Selezionare questa opzione se si desidera creare una regola per un computer gateway collegato sia a una rete privata sia a una rete pubblica da cui riceve il traffico di rete da client remoti.
Quando il client invia un pacchetto di rete a un computer nella rete privata remota, IPsec incorpora il pacchetto di dati all'interno di un pacchetto IPsec indirizzato all'indirizzo IP pubblico di questo computer gateway. Quando il computer gateway riceve il pacchetto, lo estrae e lo indirizza nella rete privata al computer di destinazione.
Quando un computer nella rete privata remota deve rispondere al computer client, il pacchetto di dati viene indirizzato al computer gateway. Il computer gateway incorpora il pacchetto di dati all'interno di un pacchetto IPsec indirizzato al computer client remoto e quindi indirizza il pacchetto IPsec sulla rete pubblica al computer client remoto.
Se si seleziona questa opzione, è possibile configurare solo gli indirizzi dei computer nella rete privata e l'indirizzo IP pubblico del computer gateway. Per ulteriori informazioni, vedere Procedura guidata per la creazione di una nuova regola di sicurezza della connessione: pagina Endpoint tunnel (gateway-client).
Accorda esenzione per connessioni protette IPsec
In alcuni casi un pacchetto d di rete potrebbe soddisfare più regole di sicurezza della connessione. Se una delle regole stabilisce un tunnel IPsec, è possibile scegliere se utilizzare il tunnel o inviare il pacchetto all'esterno del tunnel protetto dall'altra regola.
Sì
Selezionare questa opzione se la connessione è già protetta da un'altra regola di sicurezza della connessione e non si desidera che il pacchetto di rete attraversi il tunnel IPsec. Tutto il traffico di rete protetto dal protocollo ESP (Encapsulating Security Payload), incluso ESP Null, non può attraversare il tunnel.
No
Selezionare questa opzione se si desidera che tutti i pacchetti di rete che soddisfano la regola del tunnel attraversino il tunnel anche se sono protetti da un'altra regola di sicurezza della connessione.