ルーター、ゲートウェイ、またはエンド システムが、レイヤー 2 トンネリング プロトコル (L2TP)/インターネット プロトコル セキュリティ (IPsec)、あるいは Point-to-Point トンネリング プロトコル (PPTP) VPN トンネリングをサポートしていない場合、こうしたルーター、ゲートウェイ、エンド システムの相互運用性を実現するために、IPsec トンネル モードを使用します。IPsec トンネル モードは、ゲートウェイ ツー ゲートウェイ トンネリングの場合と、一部のサーバー間の構成やサーバーとゲートウェイ間の構成の場合にのみサポートされます。リモート アクセス VPN の場合、IPsec トンネル モードはサポートされません。リモート アクセス VPN 接続では、L2TP/IPsec または PPTP を使用してください。
IPsec トンネル モードは、接続の両側で定義する必要があります。接続の各エンドポイントでは、ローカル トンネル コンピューターとリモート トンネル コンピューターのエントリを入れ替える必要があります。トンネルの一方の側のローカル コンピューターは他方の側から見てリモート コンピューターであり、逆側から見るとこれが入れ替わるためです。
L2TP を使用できない場合にレイヤー 3 トンネリングを実行するには、セキュリティが強化された Windows ファイアウォールを使用します。リモート通信に L2TP を使用している場合は、このバージョンの Windows のクライアントおよびサーバー VPN コンポーネントが、セキュリティで保護された L2TP トラフィックに対する規則を自動的に作成するので、IPsec トンネルの構成は必要ありません。
作成する IPsec トンネルを構成するには、このウィザードのページを使用します。IPsec トンネルの一般的な使用目的は、ゲートウェイの背後にあるプライベート ネットワークを、リモート クライアントに接続すること、あるいは別のプライベート ネットワークを持つリモート ゲートウェイに接続することです。IPsec トンネル モードでは、データ パケット全体を IPsec で保護されたパケット内にカプセル化し、その IPsec で保護されたパケットをトンネルのエンドポイント間でルーティングすることによって、データ パケットを保護します。パケットが送信先のエンドポイントに到着すると、データ パケットのカプセル化は解除され、最終的な送信先にルーティングされます。
 | このウィザードのページを表示するには |
セキュリティが強化された Windows ファイアウォール MMC スナップインで、[接続セキュリティの規則] を右クリックし、[新しい規則] をクリックします。
[規則の種類] ページで [トンネル] をクリックします。
[ステップ] で [トンネルの種類] をクリックします。
カスタム構成
このオプションは、[トンネル エンドポイント] の [カスタム構成] ページにあるすべてのエンドポイント構成オプションを有効にするために使用します。トンネル エンドポイントとして動作するコンピューターと、各トンネル エンドポイントの背後にあるプライベート ネットワーク上のコンピューターの IP アドレスを指定できます。詳細については、「新規の接続セキュリティの規則ウィザード: [トンネル エンドポイント] ページ - [カスタム構成]」を参照してください。
クライアントからゲートウェイへ
クライアント コンピューターに対する規則を作成するとき、このコンピューターが、リモート ゲートウェイに接続したり、プライベート ネットワーク上のゲートウェイを経由して他のコンピューターに接続したりする場合に、このオプションを使用します。
クライアントがネットワーク パケットをリモート プライベート ネットワーク上のコンピューターに送信すると、そのデータ パケットは、IPsec によって IPsec パケット内に埋め込まれます。このパケットの送信先は、リモート ゲートウェイのアドレスになります。送信先のゲートウェイでパケットはカプセル化を解除され、プライベート ネットワーク上で送信先のコンピューターにルーティングされます。
このオプションをオンにすると、ゲートウェイ コンピューターのパブリック IP アドレスと、プライベート ネットワーク上のコンピューターの IP アドレスのみを構成できます。詳細については、「新規の接続セキュリティの規則ウィザード: [トンネル エンドポイント] ページ - [クライアントからゲートウェイへ]」を参照してください。
ゲートウェイからクライアントへ
ゲートウェイ コンピューターに対する規則を作成するとき、このコンピューターが、プライベート ネットワークとパブリック ネットワークの両方に接続されており、リモート クライアントからのネットワーク トラフィックをこれらのネットワーク経由で受信する場合に、このオプションを使用します。
クライアントがネットワーク パケットをプライベート ネットワーク上のコンピューターに送信すると、そのデータ パケットは、IPsec によって IPsec パケット内に埋め込まれます。このパケットの送信先は、このゲートウェイ コンピューターのパブリック IP アドレスになります。送信先のゲートウェイ コンピューターがパケットを受信すると、カプセル化が解除され、プライベート ネットワーク上で送信先のコンピューターにルーティングされます。
リモート プライベート ネットワーク上のコンピューターがクライアント コンピューターに返信する必要がある場合、そのデータ パケットはゲートウェイ コンピューターにルーティングされます。ゲートウェイ コンピューターでは、このデータ パケットが IPsec パケット内に埋め込まれます。この IPsec パケットの送信先は、リモート クライアント コンピューターになります。その後、この IPsec パケットがパブリック ネットワークを経由して、リモート クライアント コンピューターにルーティングされます。
このオプションをオンにすると、プライベート ネットワーク上のコンピューターのアドレスと、ゲートウェイ コンピューターのパブリック IP アドレスのみを構成できます。詳細については、「新規の接続セキュリティの規則ウィザード: [トンネル エンドポイント] ページ - [ゲートウェイからクライアントへ]」を参照してください。
IPsec で保護されている接続を除外する
ネットワーク パケットが 1 つ以上の接続セキュリティの規則に一致する場合があります。規則のうちの 1 つで IPsec トンネルが確立される場合、トンネルを使用するか、他の規則で保護されるトンネルの外部でパケットを送信するかを選択できます。
はい
接続が既に別の接続セキュリティの規則によって保護されており、ネットワーク パケットを IPsec トンネル経由で送信しない場合、このオプションをオンにします。ESP NULL などのカプセル化セキュリティ ペイロード (ESP) プロトコルで保護されるネットワーク トラフィックは、すべてトンネルを経由しなくなります。
いいえ
ネットワーク パケットが別の接続セキュリティの規則によって保護されている場合でも、トンネル規則と一致するすべてのネットワーク パケットをトンネルを経由して送信する場合に、このオプションをオンにします。