Эта страница мастера позволяет настроить параметры конечных точек для правила туннеля IPsec.
Если на странице Тип туннеля выбрать Настраиваемая конфигурация, то можно настроить все параметры туннеля на странице Конечные точки туннеля.
На следующем рисунке показаны компоненты, которые позволяет настроить эта страница мастера.
Чтобы перейти к этой странице мастера |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила безопасности подключения и выберите команду Новое правило.
-
На странице Тип правила установите переключатель Туннель.
-
В Шаги щелкните Тип туннеля и выберите Настраиваемая конфигурация.
-
В мастере нажимайте кнопку Далее до тех пор, пока не дойдете до страницы Конечные точки туннеля.
Компьютеры в конечной точке 1:
Конечная точка 1 является группой компьютеров в локальном конце туннеля, которые должны поддерживать отправку и прием данных от компьютеров, составляющих конечную точку 2. Нажмите кнопку Добавить - откроется диалоговое окно IP-адрес, позволяющее добавить отдельный IP-адрес, IP-адрес подсети, диапазон IP-адресов или предопределенную группу компьютеров. Чтобы изменить элемент списка, выберите его и нажмите кнопку Изменить. Чтобы удалить элемент, выберите его и нажмите кнопку Удалить.
Укажите локальную конечную точку туннеля (ближайшую к ПК в конечной точке 1).
Локальная конечная точка туннеля - это шлюз, в который компьютер в конечной точке 1 передает сетевые пакеты, адресованные компьютеру в конечной точке 2. Локальная конечная точка получает сетевой пакет от компьютера в конечной точке 1, инкапсулирует его в новый сетевой пакет и пересылает в удаленную конечную точку туннеля. Удаленная конечная точка туннеля извлекает инкапсулированный исходный пакет, помещает его в сеть, соединенную с компьютерами в конечной точке 2, и пересылает пакет в место назначения.
Можно указать адрес протокола IPv4, IPv6 или адреса для обоих протоколов. Чтобы добавить адрес, нажмите кнопку Изменить и укажите требуемые сведения в диалоговом окне Настройка параметров туннелирования IPsec.
Важно! | |
Если указать Любые, то компьютер в конечной точке 1 также будет являться локальной конечной точкой туннеля для данного подключения. Компьютер в конечной точке 1 инкапсулирует его собственные сетевые пакеты и пересылает их в удаленную конечную точку туннеля, которая извлекает и пересылает данные компьютеру назначения в конечной точке 2. |
Примечание | |
Версия протокола IP для адресов конечных точек туннеля должна быть одной и той же. Например, если задан адрес IPv4 для одного конца, для другого конца также должен быть задан адрес IPv4. Можно указать оба протокола - и IPv4, и IPv6, - но если так сделано для одного конца, так же необходимо сделать и для другого конца. |
Применить авторизацию туннеля IPSec
Выберите этот параметр, чтобы указать, что компьютер или пользователь в конечной точке 1 должен пройти проверку подлинности при соединении с локальной конечной точкой туннеля, прежде чем какие-либо пакеты могут быть переданы по этому туннелю. Для указания компьютеров и пользователей, которым разрешено передавать трафик через туннель, выполните следующие действия:
Для выполнения этой процедуры пользователь по меньшей мере должен быть членом локальной группы Администраторы или аналогичной группы.
Задание пользователей и компьютеров, которым разрешено или запрещено передавать сетевой трафик через туннель |
-
В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» в области навигации щелкните пункт Брандмауэр Windows в режиме повышенной безопасности.
-
В разделе Обзор выберите пункт Свойства брандмауэра Windows.
-
Перейдите на вкладку Параметры IPsec.
-
В разделе Авторизация туннеля IPSec выберите Дополнительно и нажмите кнопку Настроить.
-
Добавьте необходимых пользователей и компьютеры в списки. Дополнительные сведения см. в разделе Диалоговое окно: Настройка авторизации туннеля IPSec.
Укажите удаленную конечную точку туннеля (ближайшую к ПК в конечной точке 2).
Удаленная конечная точка туннеля - это шлюз, которому локальная конечная точка туннеля посылает сетевые пакеты, адресованные компьютеру в конечной точке 2. Удаленная конечная точка туннеля получает сетевой пакет от локального компьютера туннеля, извлекает инкапсулированный исходный пакет и адресует его компьютеру, находящемуся в конечной точке 2.
Можно указать адрес протокола IPv4, IPv6 или адреса для обоих протоколов. Чтобы добавить адрес, нажмите кнопку Изменить и укажите требуемые сведения в диалоговом окне Настройка параметров туннелирования IPsec.
Важно! | |
Если указать Любые, то компьютер в конечной точке 2, который получает данные, также будет являться удаленной конечной точкой туннеля. Затем компьютер в конечной точке 2 извлекает и обрабатывает исходный пакет. |
Примечание | |
Версия протокола IP для адресов конечных точек туннеля должна быть одной и той же. Например, если задан адрес IPv4 для одного конца, для другого конца также должен быть задан адрес IPv4. Можно указать оба протокола - и IPv4, и IPv6, - но если так сделано для одного конца, так же необходимо сделать и для другого. |
Компьютеры в конечной точке 2:
Конечная точка 2 является группой компьютеров в удаленном конце туннеля, которые должны поддерживать отправку и прием данных от компьютеров, составляющих конечную точку 1. Если нажать кнопку Добавить, откроется диалоговое окно IP-адрес, позволяющее добавить отдельный IP-адрес, IP-адрес подсети, диапазон IP-адресов или предопределенную группу компьютеров. Чтобы изменить элемент списка, выберите его и нажмите кнопку Изменить. Чтобы удалить элемент, выберите его и нажмите кнопку Удалить.
Изменение этих настроек
После создания правила безопасности подключения можно изменить эти настройки в диалоговом окне Свойства правила безопасности подключения. Чтобы открыть это диалоговое окно, дважды щелкните правило в списке Правила безопасности подключения. Изменить список компьютеров, составляющих конечную точку 1 и конечную точку 2, можно на вкладке Компьютеры. Чтобы изменить параметры авторизации или компьютеры, которые служат конечными точками туннеля, перейдите на вкладку Дополнительно и в разделе Туннелирование IPSec нажмите кнопку Настроить.