Настройте параметры SA IPsec компьютера таким образом, чтобы они в точности совпадали с уровнем безопасности аппарата. Метод настройки зависит от операционной системы компьютера. В приведенном ниже примере выбора уровня безопасности "Аутентификация и шифрование коротким ключом" используется Windows 7.
В меню [Пуск] выберите пункт [Панель управления], затем категорию [Система и безопасность] и пункт [Администрирование].
В Windows 8 наведите курсор мыши на правый верхний или нижний угол экрана и нажмите [Параметры], [Панель управления], [Система и безопасность] и [Администрирование].
Дважды нажмите [Локальная политика безопасности].
При появлении диалогового окна "Контроль учетных записей пользователей" нажмите кнопку [Да].
Двойным щелчком нажмите [Политика безопасности IP на локальном компьютере].
В меню "Действия" нажмите [Создать политику безопасности IP].
Появляется проводник политики безопасности IP.
Нажмите [Далее].
В поле "Имя" введите имя политики безопасности, а затем нажмите [Далее].
Снимите метку с окошечка "Использовать правило по умолчанию", а затем нажмите [Далее].
Выберите "Изменить свойства", а затем нажмите [Готово].
Во вкладке "Общие" нажмите кнопку [Параметры].
В окне "Проверять подлинность и создавать новый ключ каждые:" введите тот же период действия (в минутах), который был указан на этапе "Настройки автообмена ключами шифрования, Фаза 1", а затем нажмите кнопку [Методы].
Убедитесь, что настройки алгоритмов хеширования ("Целостность"), шифрования ("Шифрование") и "Группа Диффи-Хелмана" в "Методы безопасности в порядке предпочтения" соответствуют настройкам, указанным на аппарате в "Настройки автообмена ключами шифрования Фаза 1".
Если настройки не отображаются, нажмите [Добавить].
Дважды нажмите [OK].
Нажмите [Добавить] во вкладке "Правила".
Появляется проводник правил безопасности.
Нажмите [Далее].
Выберите "Это правило не указывает туннель", а затем нажмите [Далее].
Выберите тип сети для IPsec, а затем нажмите [Далее].
Нажмите [Добавить] в списке фильтров IP.
В поле [Имя] введите имя фильтра IP, а затем нажмите [Добавить].
Появляется проводник фильтра IP.
Нажмите [Далее].
При необходимости введите описание фильтра IP, а затем нажмите кнопку [Далее].
Выберите "Мой IP-адрес" в поле "Адрес источника", а затем нажмите [Далее].
Выберите значение "Определенный IP-адрес или подсеть" для параметра "Адрес назначения", введите IP-адрес устройства, затем нажмите кнопку [Далее].
Выберите для IPsec тип протокола, а затем нажмите [Далее].
Если IPsec используется с протоколом IPv6, выберите "58" в качестве номера протокола для типа целевого протокола "Прочие".
Если выбрано "TCP" или "UDP", укажите порт источника и порт назначения, а затем нажмите [Далее].
Нажмите [Готово].
Нажмите [OK].
Выберите фильтр IP, который был только что создан, а затем нажмите [Далее].
Нажмите [Add] (Добавить).
Появится мастер составления фильтра.
Нажмите [Далее].
В поле [Имя] введите имя фильтра IP, затем нажмите кнопку [Далее].
Выберите вариант "Согласовать безопасность", затем нажмите кнопку [Далее].
Выберите вариант "Разрешить небезопасную связь, если невозможно установить безопасное подключение.", затем нажмите [Далее].
Выберите "Особое" и нажмите [Параметры].
В разделе "Алгоритм проверки целостности" выберите алгоритм аутентификации, который был указан для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".
В разделе "Алгоритм шифрования" выберите алгоритм шифрования, указанный для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".
В настройках ключа сеанса выберите вариант "Смена ключа каждые:" и введите период действия (в секундах), который был указан для аппарата на этапе "Настройки автообмена ключами шифрования, Фаза 2".
Нажмите [OK].
Нажмите [Далее].
Нажмите [Готово].
Выберите только что созданное действие фильтра, а затем нажмите кнопку [Далее].
При установке "Настройки автообмена ключами шифрования" на "Аутентификация и шифрование длинным ключом", выберите только что созданное действие фильтра, нажмите кнопку [Редактировать], а затем выберите "Использовать сессионный ключ совершенной прямой секретности (PFS)" в диалоговом окне свойств действия фильтра. При использовании PFS в Windows номер группы PFS, используемый в фазе 2, автоматически согласовывается в фазе 1 с номером группы Диффи-Хеллмана (установленным на шаге 11). Соответственно, если вы измените указанные автоматические настройки уровня безопасности на устройстве, и у вас появится экран "“Парам.польз.”", вы должны установить такой же номер группы для параметра "Фаза 1 Группа Диффи-Хеллмана" и "Фаза 2 PFS" на устройстве для обеспечения передачи IPsec.
Выберите метод аутентификации и нажмите [Далее].
Если для метода аутентификации в разделе "Настройки автообмена ключами шифрования" на аппарате выбран вариант "Сертификат", укажите сертификат устройства. В случае выбора "PSK" введите тот же текст PSK, который задан на аппарате с предварительно выданным ключом.
Нажмите [Готово].
Нажмите [OK].
Новая политика безопасности IP (настройки IPsec) задана.
Выберите политику безопасности, которая только что была создана, нажмите правой кнопкой мыши, а затем нажмите [Назначить].
Параметры IPsec компьютера включены.
Для выключения настроек IPsec компьютера выберите политику безопасности, нажмите правой кнопкой мыши, а затем нажмите [Снять].