WinRoute Pro 4.1 stöder IPSEC i så kallat "Tunnelmodus". "Tunnelmodus" bör stödja alla IPSEC-klienter som tillåter att IP-adressen för transport ändras.
Obs: WinRoute stöder inte klientmjukvaran Checkpoint Secure Remote VPN.
WinRoute-inställningar:
Skapa en mappad port för ESP:
Protokoll: annat än 50
Avlyssnings-IP: <ospecificerat>
Destinations-IP: den privata IP-adressen för klientdatorn
Vi föreslår ochså att man skapar en mappad port för IKE. Detta är inte nödvändigt i de fall kommunikatioenn initieras FRÅN ett ställe bakom WinRoute till Internet men vissa tillämpningar av IPSEC kan kräva denna inställning:
IKE portmappning:
Protokolll: UDP
Avlyssnings-IP: <Ospecificerat>
Avlyssningsport: 500
Destinations-IP: den privata IP-adressen för klientdatorn
Destinationsport: 500
Att köra multipla IPSEC-sessioner samtidigt
Skulle det finnas flera IPSEC-klienter behöver du använda separata IP-adresser för varje klient. Obs - WinRoute NAT kommer att låta så många klienter passera genom samtidigt som du önskar så länge som anslutningen har initierats FRÅN det lokala nätverket och varje klient "använder" en IP-adress som tilldelats WinRoutes externa gränssnitt.
Allmän information om IPSEC
IPSec är ett krypteringsprotokoll som används för säker kommunikation melan två datorer.
IPSec använder antingen AH (Authentification Header) eller ESP (Encapsulating Security Payload). AH kontrollerar endast avsändarens identitet och innehållet i paketet. Data krypteras inte.
ESP krypterar data. ESP tillåter användning av så kallat "Tunnelmodus" vilket liknar PPTP-protokollet. Paketet inkluderar IP-rubriken (nödvändigt för transport) som inte är krypterad och den portion data som innehåller det krypterade ursprungliga paketet.
Protokollet IKE (ibland kallat ISAKMP) används för autentisering (utbyte av säkerhetsnycklar). IKE körs på protokollet UDP port 500. Denna port används som källa och destination.
AH använder protokoll 51, ESP använder protokoll 50. IPSec kan dessutom kommunicera med hela certifikationsenheten med användning av andra protokoll som inte inverkar på NAT.
Vi kommer att bygga in protokoll 50 i WinRoute automatiskt så att det inte alls kommer att finnas något behov av portmappning. Det enda villkoret för att upprätta förbindelsen automatiskt skulle bli att initeringen av den FRÅN det lokala nätverket.
De flesta försäljare av IPSec använder algoritmen MD5 och SHA1 för autentisering och DES, 3DES och Blowfish för kryptering. IPSec är inte nära ansluten till någon specifik algoritm så lösningarna från olika försäljare kan vara inkompatibla.