O modo de túnel do protocolo IPsec é usado principalmente para interoperabilidade com roteadores, gateways ou sistemas finais que não têm suporte para túnel VPN Protocolo de encapsulamento de camada 2 (L2TP)/Protocolo IPsec (Internet Protocol security) ou túnel VPN Protocolo de encapsulamento ponto a ponto (PPTP). O modo de túnel do protocolo IPSec tem suporte apenas em cenários de túnel de gateway a gateway e para algumas configurações de servidor a servidor ou de servidor a gateway. Não há suporte para o modo de túnel do protocolo IPSec em cenários VPN de acesso remoto. Deve-se usar a combinação L2TP/IPsec ou o protocolo PPTP em conexões VPN de acesso remoto.
Um túnel de protocolo IPsec deve ser definido nas duas extremidades da conexão. Em cada extremidade, as entradas do computador de túnel local e do computador de túnel remoto devem ser trocadas (pois o computador local em uma extremidade do túnel é o computador remoto na outra extremidade e vice versa).
Use o Firewall do Windows com Segurança Avançada para executar o túnel de camada 3 para cenários nos quais o L2TP não pode ser usado. Se você estiver usando L2TP em comunicações remotas, nenhuma configuração de túnel de protocolo IPsec será necessária, pois os componentes de VPN servidor e cliente desta versão do Windows criam as regras para proteger o tráfego L2TP automaticamente.
Use esta página do assistente para configurar os tipos de túnel de protocolo IPsec que deseja criar. Um túnel de protocolo IPsec é normalmente usado para conectar uma rede privada atrás de um gateway com um cliente remoto ou um gateway remoto com outra rede privada. O modo de túnel de protocolo IPsec protege um pacote de dados encapsulando todo o pacote de dados dentro de um pacote protegido por IPsec e encaminhando esse pacote protegido entre as extremidades do túnel. Quando ele chega à extremidade de destino, o pacote de dados é extraído e encaminhado ao seu destino final.
 | Para acessar a página deste assistente |
No snap-in do MMC do Firewall do Windows com Segurança Avançada, clique com o botão direito do mouse em Regras de Segurança de Conexão e clique em Nova Regra.
Na página Tipo de Regra, selecione Túnel.
Em Etapas, selecione Tipo de Túnel.
Configuração personalizada
Selecione essa opção para ativar todas as opções de configurações do ponto de extremidade na página Pontos de Extremidade de Túnel – Configuração Personalizada. Você pode especificar os endereços IP dos computadores que funcionam como os pontos de extremidade de túnel e os computadores localizados em redes privadas atrás de cada ponto de extremidade de túnel. Para obter mais informações, consulte Assistente para Regra de Segurança de Conexão: Página Pontos de Extremidade de Túnel – Configuração Personalizada.
Cliente para Gateway
Selecione essa opção se quiser criar uma regra para um computador cliente que precisa se conectar a um gateway remoto e aos computadores atrás do gateway em uma rede privada.
Quando o cliente envia um pacote de rede a um computador na rede privada remota, o IPsec incorpora o pacote de dados dentro de um pacote IPsec endereçado ao endereço de gateway remoto. O gateway extrai o pacote e o encaminha pela rede privada para o computador de destino.
Se você selecionar essa opção, apenas o endereço IP público do computador gateway e os endereços IP dos computadores na rede privada poderão ser configurados. Para obter mais informações, consulte Assistente para Regra de Segurança de Conexão: Página Pontos de Extremidade de Túnel - Cliente para Gateway.
Gateway para Cliente
Selecione essa opção se você quiser criar uma regra para um computador gateway anexado a uma rede privada e uma rede pública das quais recebe tráfego de rede dos clientes remotos.
Quando o cliente envia um pacote de rede a um computador na rede privada, o IPsec incorpora o pacote de dados dentro de um pacote IPsec endereçado ao endereço IP público deste computador gateway. Quando o computador gateway recebe o pacote, ele extrai o pacote e o encaminha pela rede privada para o computador de destino.
Quando um computador na rede privada remota precisa responder ao computador cliente, o pacote de dados é encaminhado ao computador gateway. O computador gateway incorpora o pacote de dados dentro de um pacote IPsec endereçado ao computador cliente remoto e encaminha o pacote IPsec pela rede pública para o computador cliente remoto.
Se você selecionar essa opção, apenas os endereços dos computadores na rede privada e o endereço IP público do computador gateway poderão ser configurados. Para obter mais informações, consulte Assistente para Regra de Segurança de Conexão: Página Pontos de Extremidade de Túnel - Gateway para Cliente.
Isentar Conexões protegidas por IPsec
Às vezes, um pacote de rede pode corresponder a mais de uma regra de segurança de conexão. Se uma das regras estabelecer um túnel IPsec, você poderá escolher se usa o túnel ou envia o pacote fora do túnel, protegido pela outra regra.
Sim
Selecione essa opção se a conexão já estiver protegida por outra regra de segurança de conexão e você não quiser que o pacote de rede passe pelo túnel IPsec. Qualquer tráfego de rede protegido pelo protocolo ESP (Encapsulating Security Payload), incluindo ESP Nulo, será impedido de passar pelo túnel.
Não
Selecione essa opção se você quiser que todos os pacotes de rede que correspondem à regra de túnel passem pelo túnel, mesmo quando estiverem protegidos por outra regra de segurança de conexão.