IPsec-tunnelläget används främst för samverkan mellan routrar, gateways eller system i slutet av kedjan som inte stöder L2TP/IPsec (Layer Two Tunneling Protocol/Internet Protocol security) eller PPTP-VPN-tunnel (Point-to-Point Tunneling Protocol). IPsec-tunnelläget stöds bara i scenarier med gateway till gateway-tunnlar och för vissa server till server- eller server till gateway-konfigurationer. IPsec-tunnelläget stöds inte i scenarier med fjärråtkomst-VPN. L2TP/IPsec eller PPTP bör användas för fjärråtkomst för VPN-anslutningar.
En IPsec-tunnel måste anges i bägge ändar av anslutningen. I varje ände måste posterna för den lokala tunneldatorn och fjärrtunneldatorn bytas ut (eftersom den lokala datorn i ena änden av tunneln är fjärrdatorn i den andra änden och tvärtom).
Använd Windows-brandväggen med avancerad säkerhet när du vill utföra L3TP (Layer 3 Tunneling Protocol) i scenarier där L2TP inte kan användas. Om du använder L2TP för fjärrkommunikation krävs ingen konfigurering av IPsec-tunneln eftersom klient- och server-VPN-komponenter i den här versionen av Windows automatiskt skapar de korrekta reglerna för säker L2TP-trafik.
Använd den här sidan i guiden när du vill konfigurera vilken typ av IPsec-tunnel du vill skapa. En IPsec-tunnel används vanligtvis för att ansluta ett privat nätverk bakom en gateway till antingen en fjärrklient eller en fjärr-gateway till ett annat privat nätverk. IPsec-tunnelläget skyddar ett datapaket genom att kapsla in hela datapaketet i ett IPsec-skyddat paket och sedan dirigera det IPsec-skyddade paketet mellan tunnelslutpunkterna. När det kommer fram till målslutpunkten extraheras datapaketet och dirigeras sedan till den slutgiltiga destinationen.
Så här öppnar du den här sidan i guiden |
Högerklicka på Anslutningssäkerhetsregler i MMC-snapin-modulen Windows-brandväggen med avancerad säkerhet och klicka sedan på Ny regel.
Markera Tunnel på sidan Regeltyp.
Markera Tunneltyp i Steg.
Anpassad konfiguration
Välj det här alternativet om du vill aktivera alla konfigurationsalternativ för slutpunkter på sidan Tunnelslutpunkter – Anpassad konfiguration. Du kan ange IP-adresserna för de datorer som fungerar som tunnelslutpunkter och de datorer som finns i privata nätverk bakom respektive tunnelslutpunkt. Mer information finns i Guiden Anslutningssäkerhetsregel: Sidan Tunnelslutpunkter - Anpassad konfiguration.
Klient-till-gateway
Välj det här alternativet om du vill skapa en regel för en klientdator som måste ansluta till en fjärr-gateway och datorerna bakom gatewayen i ett privat nätverk.
När klienten skickar ett nätverkspaket till en dator i det privata fjärrnätverket bäddas datapaketet in i ett IPsec-paket som adresseras till fjärr-gateway-adressen. Gatewayen extraherar paketet och dirigerar det sedan till måldatorn i det privata nätverket.
Om du väljer det här alternativet kan endast den offentliga IP-adressen för gateway-datorn och IP-adresserna för datorerna i det privata nätverket konfigureras. Mer information finns i Guiden Anslutningssäkerhetsregel: Sidan Tunnelslutpunkter - Klient-till-gateway.
Gateway-till-klient
Välj det här alternativet om du vill skapa en regel för en gateway-dator som är ansluten till både ett privat nätverk och ett offentligt nätverk som den tar emot nätverkstrafik från fjärrklienter från.
När klienten skickar ett nätverkspaket till en dator i det privata nätverket bäddas datapaketet in i ett IPsec-paket som adresseras till den offentliga IP-adressen för gateway-datorn. När gateway-datorn tar emot paketet extraheras paketet och dirigeras sedan till måldatorn i det privata nätverket.
När en dator i det privata fjärrnätverket behöver svara klientdatorn dirigeras datapaketet till gateway-datorn. Gateway-datorn bäddar in datapaketet i ett IPsec-paket som adresseras till fjärrklientdatorn, och sedan dirigeras IPsec-paketet till fjärrklientdatorn via det offentliga nätverket.
Om du väljer det här alternativet kan endast adresserna för datorer i det privata nätverket och den offentliga IP-adressen för gateway-datorn konfigureras. Mer information finns i Guiden Anslutningssäkerhetsregel: Sidan Tunnelslutpunkter - Gateway-till-klient.
Undanta IPsec-skyddade anslutningar
Ibland kan ett nätverkspaket matcha fler än en anslutningssäkerhetsregel. Om en av reglerna upprättar en IPsec-tunnel kan du välja om du vill använda tunneln, eller skicka paketet utanför tunneln och då skydda det med den andra regeln.
Ja
Välj det här alternativet om anslutningen redan skyddas av en annan anslutningssäkerhetsregel och du inte vill att nätverkspaketet ska skickas via IPsec-tunneln. Nätverkstrafik som skyddas med ESP-protokollet (Encapsulating Security Payload), till exempel ESP Null, blockeras från att skickas genom tunneln.
Nej
Välj det här alternativet om du vill att alla nätverkspaket som matchar tunnelregeln skickas genom tunneln, även om de skyddas av en annan anslutningssäkerhetsregel.