WinRoute Pro 4.1 supporta IPSEC in "modalità tunnel". La "modalità tunnel" supporta tutti i client IPSEC che consentono la modifica dell'indirizzo IP di trasporto.
Nota: WinRoute non supporta l'applicativo client VPN Checkpoint Secure Remote.
Impostazioni di WinRoute:
Crea porta mappata per ESP:
Protocollo: altro 50
IP in ascolto: <non specificato>
IP di destinazione: l'indirizzo IP privato del PC client
È inoltre consigliabile creare una porta mappata per IKE. L'operazione non è obbligatoria se la comunicazione è iniziata ALL'INTERNO di WinRoute ed è diretta a Internet. Alcune implementazioni di IPSEC richiedono tuttavia questa impostazione:
Mappatura porta IKE:
Protocollo: UDP
IP in ascolto: <non specificato>
Porta in ascolto: 500
IP di destinazione: l'indirizzo IP privato del PC client
Porta di destinazione: 500
Esecuzione simultanea di più sessioni IPSEC
Qualora esistano più client IPSEC, sarà necessario utilizzare un indirizzo IP separato per ciascuno di essi. Nota - NAT di WinRoute consente il transito simultaneo del numero di client specificato dall'utente, a condizione che la connessione sia iniziata DALLA rete locale e che ciascun client "utilizzi" un indirizzo IP assegnato all'interfaccia esterna di WinRoute.
Informazioni generali su IPSEC
IPSec è il protocollo crittografico di protezione utilizzato per la comunicazione tra computer.
IPSec utilizza l'algoritmo AH (Authentification Header) o ESP (Encapsulating Security Payload). Il primo esegue solo la verifica dell'identità del mittente e del contenuto del pacchetto. I dati non sono crittografati.
ESP crittografa i dati e consente l'utilizzo della cosiddetta "modalità tunnel", che è simile al protocollo PPTP. Il pacchetto include quindi l'intestazione IP (necessaria per il trasporto) che non è crittografata, e la porzione di dati in cui è contenuto l'intero pacchetto originale crittografato.
Il protocollo IKE (chiamato anche ISAKMP) è utilizzato per l'autenticazione (scambio di chiavi di protezione). Esso viene eseguito sul protocollo UDP della porta 500, utilizzata sia come origine sia come destinazione.
AH si serve del protocollo 51, mentre ESP utilizza il protocollo 50. IPSec può comunicare con l'autorità di certificazione anche con altri protocolli, che non si interfacciano con NAT.
Il protocollo 50 verrà incorporato automaticamente in WinRoute, e ciò renderà superflua la mappatura della porta. La sola condizione richiesta per stabilire automaticamente la connessione sarà che la connessione sia stata iniziata DALLA rete locale.
La maggior parte dei provider IPSec utilizza gli algoritmi MD5 e SHA1 per l'autentificazione e DES, 3DES e Blowfish per la crittografia. IPSec non ha legami stretti con nessun particolare algoritmo, pertanto non soffre di problemi di incompatibilità con le soluzioni proposte dai diversi fornitori.