Tryb tunelowania IPsec służy przede wszystkim do zapewnienia współdziałania z routerami, bramami lub systemami końcowymi, które nie obsługują protokołu L2TP (Layer Two Tunneling Protocol)/zabezpieczeń protokołu internetowego (IPsec) lub tunelowania VPN z zastosowaniem protokołu PPTP (Point-to-Point Tunneling Protocol). Tryb tunelowania IPSec jest obsługiwany tylko w scenariuszach tunelowania brama-brama oraz dla pewnych konfiguracji serwer-serwer i serwer-brama. Tryb tunelowania IPSec nie jest obsługiwany w scenariuszach VPN dostępu zdalnego. Dla połączeń sieci VPN dostępu zdalnego należy używać kombinacji protokołów L2TP/IPSec lub protokołu PPTP.

Tunel IPsec musi być zdefiniowany po obu stronach połączenia. Wpisy definiujące lokalny komputer tunelu i zdalny komputer tunelu muszą być wprowadzone odwrotnie na każdym z końców tunelu (ponieważ komputer lokalny na jednym końcu tunelu jest komputerem zdalnym na drugim końcu tunelu i na odwrót).

Do realizacji tunelowania w warstwie 3 w scenariuszach, w których nie można użyć protokołu L2TP, należy skorzystać z aplikacji Zapora systemu Windows z zabezpieczeniami zaawansowanymi. Jeśli do komunikacji zdalnej używany jest protokół L2TP, konfiguracja tunelu IPsec nie jest potrzebna, ponieważ składniki VPN klienta i serwera tej wersji systemu Windows automatycznie tworzą reguły zabezpieczające ruch L2TP.

Ta strona kreatora służy do konfigurowania typu tworzonego tunelu IPsec. Tunel IPsec jest używany najczęściej w celu łączenia sieci prywatnej za bramą ze zdalnym klientem lub zdalnej bramy z inną siecią prywatną. Tryb tunelowania IPsec chroni pakiet danych, hermetyzując cały pakiet danych w pakiecie zabezpieczonym protokołem IPsec, a następnie przekierowując pakiet zabezpieczony protokołem IP między punktami końcowymi tunelu. Po osiągnięciu docelowego punktu końcowego pakiet danych zostaje wyodrębniony, a następnie przekierowany do docelowego punktu końcowego.

Aby uzyskać dostęp do tej strony kreatora

  1. W przystawce Zapora systemu Windows z zabezpieczeniami zaawansowanymi programu MMC kliknij prawym przyciskiem myszy pozycję Reguły zabezpieczeń połączeń, a następnie kliknij polecenie Nowa reguła.

  2. Na stronie Typ reguły wybierz opcję Tunel.

  3. W obszarze Kroki wybierz opcję Typ tunelu.

Konfiguracja niestandardowa

Zaznacz tę opcję, aby włączyć wszystkie opcje konfigurowania punktu końcowego na stronie Punkty końcowe tunelu - konfiguracja niestandardowa. Można określić adresy IP komputerów służących jako punkty końcowe tunelu oraz komputerów znajdujących się w sieciach prywatnych za poszczególnymi punktami końcowymi tunelu. Aby uzyskać więcej informacji, zobacz temat Kreator reguły zabezpieczeń połączeń: strona Punkty końcowe tunelu - Konfiguracja niestandardowa.

Klient do bramy

Zaznacz tę opcję, aby utworzyć regułę dla komputera klienckiego, który musi się połączyć ze zdalną bramą i z komputerami za bramą w sieci prywatnej.

Gdy klient wysyła pakiet sieciowy do komputera w zdalnej sieci prywatnej, protokół IPsec osadza pakiet danych w pakiecie protokołu IPsec adresowanym do adresu zdalnej bramy. Brama wyodrębnia pakiet, a następnie przekierowuje go w sieci prywatnej do komputera docelowego.

W przypadku zaznaczenia tej opcji można skonfigurować tylko publiczny adres IP komputera bramy i adresy IP komputerów w sieci prywatnej. Aby uzyskać więcej informacji, zobacz temat Kreator reguły zabezpieczeń połączeń: strona Punkty końcowe tunelu - Klient do bramy .

Brama do klienta

Zaznacz tę opcję, aby utworzyć regułę dla komputera bramy przyłączonego zarówno do sieci prywatnej, jak i do sieci publicznej, z której otrzymuje pakiety sieciowe od klientów zdalnych.

Gdy klient wysyła pakiet sieciowy do komputera w sieci prywatnej, protokół IPsec osadza pakiet danych w pakiecie protokołu IPsec adresowanym do publicznego adresu IP tego komputera bramy. Komputer bramy wyodrębnia pakiet po jego odebraniu, a następnie przekierowuje w sieci prywatnej do komputera docelowego.

Gdy komputer w zdalnej sieci prywatnej musi odpowiedzieć komputerowi klienckiemu, pakiet danych zostaje przekierowany do komputera bramy. Komputer bramy osadza pakiet danych w pakiecie IPsec zaadresowanym do zdalnego komputera klienckiego, a następnie przekierowuje pakiet IPsec w sieci publicznej do zdalnego komputera klienckiego.

W przypadku zaznaczenia tej opcji można skonfigurować tylko adresy komputerów w sieci prywatnej i publiczny adres IP komputera bramy. Aby uzyskać więcej informacji, zobacz temat Kreator reguły zabezpieczeń połączeń: strona Punkty końcowe tunelu - Brama do klienta.

Wyklucz połączenia zabezpieczone protokołem IPsec

W niektórych przypadkach pakiet sieciowy może być zgodny z więcej niż jedną regułę zabezpieczeń połączeń. Jeśli jedna z reguł ustanawia tunel protokołu IPsec, można wybrać, czy ma zostać użyty tunel, czy też pakiet ma zostać wysłany poza tunelem i być chroniony przez inną regułę.

Tak

Wybierz tę opcję, jeśli połączenie jest już chronione przez inną regułę zabezpieczeń połączeń i nie chcesz, aby pakiet sieciowy przechodził przez tunel protokołu IPsec. Przez tunel nie może przechodzić ruch sieciowy chroniony przez protokół ESP (Encapsulating Security Payload), w tym protokół ESP Null.

Nie

Wybierz tę opcję, jeśli chcesz, aby wszystkie pakiety sieciowe zgodne z regułą tunelu przechodziły przez tunel, nawet jeśli są chronione przez inną regułę zabezpieczeń połączeń.

Dodatkowe informacje

Spis treści