Mit dieser Assistentenseite können Sie die Endpunktoptionen für eine IPsec-Tunnelregel konfigurieren.
Wenn Sie auf der Seite Tunneltyp die Option Benutzerdefinierte Konfiguration auswählen, können Sie sämtliche Details des Tunnels auf der Seite Tunnelendpunkte konfigurieren.
Das folgende Diagramm zeigt die Komponenten, die Sie mithilfe dieser Assistentenseite konfigurieren können.
 | So öffnen Sie diese Assistentenseite |
Klicken Sie im MMC-Snap-In Windows-Firewall mit erweiterten Sicherheitseinstellungen mit der rechten Maustaste auf Verbindungssicherheitsregeln, und klicken Sie dann auf Neue Regel.
Wählen Sie auf der Seite Regeltyp die Option Tunnel aus.
Klicken Sie unter Schritte auf Tunneltyp, und wählen Sie dann Benutzerdefinierte Konfiguration aus.
Klicken Sie so lange auf Weiter, bis die Seite Tunnelendpunkte angezeigt wird.
Welche Computer befinden sich im Endpunkt 1?
Endpunkt 1 ist die Gesamtheit der Computer am lokalen Ende des Tunnels, denen es möglich sein muss, Daten an die Computer zu senden und von den Computern zu empfangen, die zu Endpunkt 2 gehören. Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds IP-Adresse eine einzelne IP-Adresse, eine IP-Subnetzadresse, einen IP-Adressbereich oder eine vordefinierte Gruppe von Computern hinzuzufügen. Zum Ändern eines Eintrags in der Liste müssen Sie das Element auswählen und dann auf Bearbeiten klicken. Zum Entfernen eines Eintrags müssen Sie das Element auswählen und dann auf Entfernen klicken.
Was ist der lokale Tunnelendpunkt (am nächsten zu Computern in Endpunkt 1)?
Der lokale Tunnelendpunkt ist das Gateway, an das ein Computer an Endpunkt 1 Netzwerkpakete sendet, die an einen Computer an Endpunkt 2 adressiert sind. Der lokale Tunnelendpunkt akzeptiert ein Netzwerkpaket von einem Computer an Endpunkt 1 und kapselt es dann in einem neuen Netzwerkpaket, das an den Remotetunnelendpunkt adressiert und zu diesem weitergeleitet wird. Der Remotetunnelendpunkt extrahiert das gekapselte Originalpaket, platziert es im Netzwerk, das mit den Computern an Endpunkt 2 verbunden ist, und leitet es dann an sein endgültiges Ziel weiter.
Sie können eine IPv4-Adresse (Internetprotokoll, Version 4), eine IPv6-Adresse (Internetprotokoll, Version 6) oder beide Adressversionen verwenden. Klicken Sie auf Bearbeiten, und geben Sie die erforderlichen Informationen im Dialogfeld IPsec-Tunnelingeinstellungen anpassen an, um eine Adresse hinzuzufügen.
 | Wichtig |
Wenn Sie Beliebig angeben, ist der Computer an Endpunkt 1 auch der lokale Tunnelendpunkt für die Verbindung. In diesem Fall kapselt der Endpunkt-1-Computer seine eigenen Netzwerkpakete und leitet sie an den Remotetunnelendpunkt weiter, der die Daten daraufhin extrahiert und an den Zielcomputer an Endpunkt 2 weiterleitet. |
 | Hinweis |
Die IP-Versionen der Adresse müssen an beiden Enden des Tunnels übereinstimmen. Wenn Sie beispielsweise eine IPv4-Adresse an einem Ende angegeben, muss am anderen Ende ebenfalls eine IPv4-Adresse verwendet werden. Sie können eine IPv4-Adresse und eine IPv6-Adresse angeben. Wenn Sie für ein Ende beide Adressversionen angeben, müssen Sie für das andere Ende genauso vorgehen. |
IPsec-Tunnelautorisierung gemäß der Angabe ... anwenden
Aktivieren Sie diese Option, um festzulegen, dass sich der Computer oder Benutzer an Endpunkt 1 beim lokalen Tunnelendpunkt authentifizieren muss, bevor eines seiner Pakete durch den Tunnel gesendet werden kann. Führen Sie die folgenden Schritte aus, um die Computer oder Benutzer anzugeben, die berechtigt sind, Datenverkehr durch den Tunnel zu senden:
Mitgliedschaft in der lokalen Gruppe „Administratoren“ oder in einer entsprechenden Gruppe ist Grundvoraussetzung, um die folgenden Schritte ausführen zu können.
| So geben Sie Computer oder Benutzer an, die berechtigt bzw. nicht berechtigt sind, Netzwerkverkehr durch den Tunnel zu senden |
Wählen Sie im Navigationsbereich des MMC-Snap-Ins Windows-Firewall mit erweiterten Sicherheitseinstellungen den Knoten Windows-Firewall mit erweiterter Sicherheit aus.
Klicken Sie unter Übersicht auf Windows-Firewalleigenschaften.
Wählen Sie die Registerkarte IPsec-Einstellungen aus.
Klicken Sie unter IPsec-Tunnelautorisierung auf Erweitert, und klicken Sie dann auf Anpassen.
Fügen Sie die für Ihre Umgebung geeigneten Benutzer und Computer zu den Listen hinzu. Weitere Informationen finden Sie unter IPsec-Tunnelautorisierung anpassen (Dialogfeld).
Was ist der Remotetunnelendpunkt (am nächsten zu Computern in Endpunkt 2)?
Der Remotetunnelendpunkt ist das Gateway, an das der lokale Tunnelendpunkt die Netzwerkpakete sendet, die an einen Computer an Endpunkt 2 adressiert sind. Der Remotetunnelendpunkt empfängt ein Netzwerkpaket vom lokalen Tunnelendpunkt, extrahiert das gekapselte Originalpaket und leitet es dann an den Zielcomputer an Endpunkt 2 weiter.
Sie können eine IPv4-Adresse, eine IPv6-Adresse oder beide Adressversionen angeben. Klicken Sie auf Bearbeiten, und geben Sie die erforderlichen Informationen im Dialogfeld IPsec-Tunnelingeinstellungen anpassen an, um eine Adresse hinzuzufügen.
| Wichtig |
Wenn Sie Beliebig angeben, fungiert der Computer an Endpunkt 2, der die Daten empfängt, auch als Remotetunnelendpunkt. In diesem Fall wird das Originalpaket vom Endpunkt-2-Computer extrahiert und verarbeitet. |
| Hinweis |
Die IP-Versionen der Adresse müssen an beiden Enden des Tunnels übereinstimmen. Wenn Sie beispielsweise eine IPv4-Adresse an einem Ende angegeben, muss am anderen Ende ebenfalls eine IPv4-Adresse verwendet werden. Sie können eine IPv4-Adresse und eine IPv6-Adresse angeben. Wenn Sie für ein Ende beide Adressversionen angeben, müssen Sie für das andere Ende genauso vorgehen. |
Welche Computer befinden sich im Endpunkt 2?
Endpunkt 2 ist die Gesamtheit der Computer am Remoteende des Tunnels, denen es möglich sein muss, Daten an die Computer zu senden und von den Computern zu empfangen, die zu Endpunkt 1 gehören. Klicken Sie auf Hinzufügen, um mithilfe des Dialogfelds IP-Adresse eine einzelne IP-Adresse, eine IP-Subnetzadresse, einen IP-Adressbereich oder eine vordefinierte Gruppe von Computern hinzuzufügen. Zum Ändern eines Eintrags in der Liste müssen Sie das Element auswählen und dann auf Bearbeiten klicken. Zum Entfernen eines Eintrags müssen Sie das Element auswählen und dann auf Entfernen klicken.
So ändern Sie diese Einstellungen
Nachdem Sie die Verbindungssicherheitsregel erstellt haben, können Sie diese Einstellungen im Dialogfeld Eigenschaften von Verbindungssicherheitsregel ändern. Dieses Dialogfeld wird geöffnet, wenn Sie in Verbindungssicherheitsregeln auf eine Regel doppelklicken. Wählen Sie die Registerkarte Computer aus, um die Computer zu ändern, die sich an Endpunkt 1 oder Endpunkt 2 befinden. Wählen Sie die Registerkarte Erweitert aus, und klicken Sie dann unter IPsec-Tunneling auf Anpassen, um die Autorisierungseinstellungen oder die Computer zu ändern, die als Tunnelendpunkte fungieren.