Туннельный режим IPSec используется в первую очередь для обеспечения взаимодействия с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают туннелирование L2TP/IPSec или PPTP VPN. Режим туннеля IPsec поддерживается только при туннелировании от шлюза к шлюзу и для определенных конфигураций сервер-сервер или сервер-шлюз. Туннельный режим IPsec не поддерживается для сценариев удаленного доступа к VPN. Для удаленного доступа к виртуальной частной сети следует использовать подключения L2TP/IPSec или PPTP.
IPsec-туннель должен быть определен на обоих концах соединения. На каждом конце необходимо произвести обмен записями для локального и удаленного компьютеров в туннеле (поскольку локальный компьютер на одном конце туннеля является удаленным для другого конца и наоборот).
Используйте Брандмауэр Windows в режиме повышенной безопасности, чтобы выполнить туннелирование уровня 3 для сценариев, в которых нельзя использовать протокол L2TP. Если для удаленных подключений используется протокол L2TP, то настройка туннеля IPsec не требуется, поскольку клиентские и серверные компоненты VPN этой версии Windows автоматически создают соответствующие правила для защиты трафика L2TP.
Эта страница мастера позволяет настроить тип туннеля IPsec, который необходимо создать. Туннель IPsec обычно используется, чтобы подключить частную сеть за шлюзом либо к удаленному клиенту, либо к удаленному шлюзу к другой частной сети. Режим туннеля IPsec защищает данные, инкапсулируя весь пакет в защищенный IPsec-пакет, и затем пересылает защищенный IPsec-пакет между конечными точками туннеля. По достижении конечной точки пакет данных извлекается и пересылается в место назначения.
Чтобы перейти к этой странице мастера |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.
-
На странице Тип правила установите переключатель Туннель.
-
В Шаги выберите Тип туннеля.
Настраиваемая конфигурация
При выборе этого параметра разрешаются все параметры для настройки конечных точек на странице Конечные точки туннеля - Настраиваемая конфигурация. Можно указать IP-адреса компьютеров, которые служат в качестве конечных точек туннеля, и компьютеров, которые находятся в частных сетях за пределами каждой из конечных точек туннеля. Дополнительные сведения см. в разделе Мастер создания правила безопасности подключения: страница «Конечные точки туннеля» - настраиваемая конфигурация.
От клиента к шлюзу
Выберите этот параметр, если необходимо создать правило для клиентского компьютера, который должен соединяться с удаленным шлюзом и компьютерами, находящимися за шлюзом в частной сети.
Когда клиент посылает сетевой пакет компьютеру в удаленной частной сети, протокол IPsec внедряет пакет данных в IPsec-пакет и адресует его удаленному шлюзу. Шлюз извлекает пакет и адресует его в частную сеть целевому компьютеру.
При выборе этого параметра можно настраивать только публичный IP-адрес компьютера-шлюза и IP-адреса компьютеров в частной сети. Дополнительные сведения см. в разделе Мастер создания правила безопасности подключения: страница «Конечные точки туннеля» - клиент-шлюз.
От шлюза к клиенту
Выберите этот параметр, если необходимо создать правило для компьютера-шлюза, который подключен и к частной сети, и к публичной сети, из которой он принимает трафик от удаленных клиентов.
Когда клиент посылает сетевой пакет компьютеру в частной сети, протокол IPsec внедряет пакет данных в IPsec-пакет и адресует его на общий IP-адрес этого компьютера-шлюза. Когда компьютер-шлюз получает пакет, он извлекает исходный пакет и адресует его в частную сеть целевому компьютеру.
Когда компьютеру в удаленной частной сети требуется ответить клиентскому компьютеру, пакет данных адресуется компьютеру-шлюзу. Компьютер-шлюз внедряет пакет данных в IPsec-пакет, который адресуется удаленному клиентскому компьютеру, и посылает этот IPsec-пакет по публичной сети удаленному клиентскому компьютеру.
При выборе этого параметра можно настраивать только адреса компьютеров в частной сети и общий IP-адрес компьютера-шлюза. Дополнительные сведения см. в разделе Мастер создания правила безопасности подключения: страница «Конечные точки туннеля» - шлюз-клиент.
Исключить защищенные подключения IPSec
Иногда сетевой пакет может удовлетворять нескольким правилам безопасности подключения. Если одно из правил устанавливает туннель IPsec, можно выбрать, использовать ли этот туннель или передать пакет, защищенный другим правилом, не по туннелю.
Да
Выберите этот вариант, если подключение уже защищено другим правилом безопасности подключения и не требуется, чтобы сетевые пакеты проходили через туннель IPsec. Запрещается передача по туннелю всего сетевого трафика, защищенного протоколом ESP, включая ESP NULL.
Нет
Выберите этот вариант, если необходимо, чтобы все сетевые пакеты, удовлетворяющие правилу туннеля, проходили через туннель, даже если они защищены другим правилом подключения безопасности.