Festlegen der IPsec-Einstellungen am Computer

Klicken Sie im Menü [Start] auf [Systemsteuerung], [Leistung und Wartung] und dann auf [Verwaltung].

Doppelklicken Sie auf [Lokale Sicherheitsrichtlinie].

Klicken Sie auf [IP-Sicherheitsrichtlinien auf Lokaler Computer].

Klicken Sie im Menü „Aktion" auf [IP-Sicherheitsrichtlinie erstellen].

Der IP-Sicherheitsrichtlinien-Assistent erscheint.

Klicken Sie auf [Weiter].

Geben Sie einen Sicherheitsrichtliniennamen unter „Name" ein, und klicken Sie dann auf [Weiter].

Deaktivieren Sie das Kontrollkästchen „Die Standardantwortregel aktivieren" und klicken Sie dann auf [Weiter].

Wählen Sie „Eigenschaften bearbeiten" und klicken Sie dann auf [Fertig stellen].

Klicken Sie auf der Registerkarte „Allgemein" auf [Erweitert].

Geben Sie im Feld „Authentifizieren und neuen Schlüssel erstellen nach" den gleichen Gültigkeitszeitraum (in Minuten) ein, der auf dem Gerät für [IKE-Lebensdauer] festgelegt wurde, und klicken Sie dann auf [Methoden].

Bestätigen Sie, dass die Einstellungen für Verschlüsselungsalgorithmus („Verschlüsselung"), Hash-Algorithmus („Integrität") und die IKE-Diffie-Hellman-Gruppe („Diffie-Hellman-Gruppe") unter „Reihenfolge der Sichherheitsmethoden" mit den Einstellungen auf dem Gerät unter [IKE-Einstellungen] übereinstimmen.

Werden die Einstellungen nicht angezeigt, klicken Sie auf [Hinzufügen].

Klicken Sie zweimal auf [OK].

Klicken Sie auf der Registerkarte „Regeln" auf [Hinzufügen].

Der Sicherheitsregel-Assistent erscheint.

Klicken Sie auf [Weiter].

Wählen Sie „Diese Regel spezifiziert keinen Tunnel" und klicken Sie dann auf [Weiter].

Wählen Sie den Netzwerktyp für IPsec und klicken Sie dann auf [Weiter].

Wählen Sie „Diese Zeichenfolge zum Schutz des Schlüsselaustauschs verwenden", und geben Sie dann denselben PSK-Text ein, den Sie auf dem Gerät für den freigegebenen Schlüssel festgelegt haben.

Klicken Sie auf [Weiter].

Klicken Sie in der IP-Filterliste auf [Hinzufügen].

Geben Sie unter [Name] einen IP-Filternamen ein und klicken Sie dann auf [Hinzufügen].

Der IP-Filter-Assistent erscheint.

Klicken Sie auf [Weiter].

Wählen Sie unter „Quelladresse" die Option „Meine IP-Adresse" aus, und klicken Sie auf [Weiter].

Wählen Sie unter „Zieladresse" die Option „Spezifische IP-Adresse" aus, geben Sie die IP-Adresse des Geräts ein, und klicken Sie auf [Weiter].

Wählen Sie den Protokolltyp für IPsec aus, wählen Sie „Beliebig" und klicken Sie dann auf [Weiter].

Klicken Sie auf [Fertig stellen].

Klicken Sie auf [OK].

Wählen Sie den soeben erstellten IP-Filter aus und klicken Sie dann auf [Weiter].

Wählen Sie den IPsec-Sicherheitsfilter und klicken Sie dann auf [Bearbeiten].

Aktivieren Sie auf der Registerkarte „Sicherheitsmethoden" die Option „Sicherheit aushandeln", und klicken Sie dann auf [Hinzufügen].

Wählen Sie „Benutzerdefiniert" aus, und klicken Sie auf [Einstellungen].

Wenn für das Gerät [ESP] in [Sicherheitsprotokoll] unter [IP-Einstellungen] ausgewählt ist, wählen Sie [Datenintegrität und -verschlüsselung (ESP)] aus, und konfigurieren Sie die folgenden Einstellungen:

Setzen Sie den Wert für [Integritätsalgorithmus] auf denselben Wert, wie auf dem Gerät für [Authentifizierungsalgorithmus für ESP] festgelegt ist.

Setzen Sie den Wert für [Verschlüsselungsalgorithmus] auf denselben Wert, wie auf dem Gerät für [Verschüsselungsalgorithmus für ESP] festgelegt ist.

Wenn für das Gerät [AH] in [Sicherheitsprotokoll] unter [IP-Einstellungen] ausgewählt ist, wählen Sie [Daten- und Adressintegrität ohne Verschlüsselung (AH)] aus, und konfigurieren Sie die folgenden Einstellungen:

Setzen Sie den Wert für [Integritätsalgorithmus] auf denselben Wert, der auf dem Gerät für [Authentifizierungsalgorithmus für AH] festgelegt ist.

Deaktivieren Sie das Kontrollkästchen [Datenintegrität und -verschlüsselung [ESP].

Wenn für das Gerät [ESP&AH] in [Sicherheitsprotokoll] unter [IP-Einstellungen] ausgewählt ist, wählen Sie [Daten- und Adressintegrität ohne Verschlüsselung (AH)] aus, und konfigurieren Sie die folgenden Einstellungen:

Setzen Sie den Wert für [Integritätsalgorithmus] unter [Daten- und Adressintegrität ohne Verschlüsselung (AH)] auf denselben Wert, der auf dem Gerät für [Authentifizierungsalgorithmus für AH] festgelegt ist.

Setzen Sie den Wert für [Integritätsalgorithmus] unter [Datenintegrität und Verschlüsselung (ESP)] auf denselben Wert, der auf dem Gerät für [Authentifizierungsalgorithmus für ESP] festgelegt ist.

Setzen Sie den Wert für [Verschlüsselungsalgorithmus] unter [Datenintegrität und Verschlüsselung (ESP)] auf denselben Wert, der auf dem Gerät für [Verschlüsselungsalgorithmus für ESP] festgelegt ist.

Wählen Sie in den Einstellungen für den Sitzungsschlüssel „Neuen Schlüssel alle" aus, und geben Sie denselben Gültigkeitszeitraum (in Sekunden oder KB) ein, der auf dem Gerät für [Lebensdauer] festgelegt ist.

Klicken Sie dreimal auf [OK].

Klicken Sie auf [Weiter].

Klicken Sie auf [Fertig stellen].

Wenn Sie IPv6 unter Windows Vista oder einer neueren Windows-Version verwenden, müssen Sie dieses Verfahren von Schritt 13 an wiederholen und ICMPv6 als Ausnahme festlegen. Wenn Sie bei Schritt 24 sind, wählen Sie [58] als die Protokollnummer für den „Anderen" Zielprotokolltyp und stellen Sie die Option [Sicherheit aushandeln] auf [Zulassen].

Klicken Sie auf [OK].

Klicken Sie auf [Schließen].

Die neue IP-Sicherheitsrichtlinie (IPsec-Einstellungen) ist jetzt eingestellt.

Wählen Sie die soeben erstellte Sicherheitsrichtlinie aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann [Zuweisen].

IPsec-Einstellungen auf dem Computer sind aktiviert.