Konfigurieren Sie die IPsec-Einstellungen des Computers so, dass sie genau mit der Sicherheitsstufe des Geräts übereinstimmen. Die Einstellungsweise variiert je nach Betriebssystem auf dem Computer. Dem nachfolgend dargestellten Beispiel zur Auswahl der Sicherheitsstufe "Authentication and Low Level Encryption" liegt Windows 7 zugrunde.
Klicken Sie im Menü [Start] auf [Systemsteuerung], [System und Sicherheit] und dann auf [Verwaltung].
Unter Windows 8 müssen Sie jedoch den Mauszeiger über die obere oder untere rechte Ecke des Bildschirms bewegen und anschließend auf [Einstellungen], [Systemsteuerung], [System und Sicherheit] und [Verwaltung] klicken.
Klicken Sie auf [Lokale Sicherheitsrichtlinie].
Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, klicken Sie auf [Ja].
Doppelklicken Sie auf [IP-Sicherheitsrichtlinien auf Lokaler Computer].
Klicken Sie im Menü "Aktion" auf [IP-Sicherheitsrichtlinie erstellen].
Der IP-Sicherheitsrichtlinien-Assistent erscheint.
Auf [Weiter] klicken.
Geben Sie einen Sicherheitsrichtliniennamen unter "Name" ein und klicken Sie dann auf [Weiter].
Deaktivieren Sie das Kontrollkästchen "Die Standardantwortregel aktivieren" und klicken Sie dann auf [Weiter].
Wählen Sie "Eigenschaften bearbeiten" und klicken Sie dann auf [Fertig stellen].
Klicken Sie auf der Registerkarte "Allgemein" auf [Einstellungen].
Geben Sie im Feld "Authentifizieren und einen neuen Schlüssel erzeugen nach:" denselben Gültigkeitszeitraum (in Minuten) ein, der beim Gerät in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 1" festgelegt wurde, und klicken Sie dann auf [Methoden].
Überprüfen Sie, dass der Hash-Algorithmus ("Integrity"), der Verschlüsselungsalgorithmus ("Encryption") und die Einstellungen "Diffie-Hellman Group" in "Reihenfolge der Sicherheitsmethoden" mit den Einstellungen übereinstimmen, die in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 1" für das Gerät festgelegt wurden.
Werden die Einstellungen nicht angezeigt, klicken Sie auf [Hinzufügen].
Klicken Sie zweimal auf [OK].
Klicken Sie auf der Registerkarte "Regeln" auf [Hinzufügen].
Der Sicherheitsregel-Assistent erscheint.
Auf [Weiter] klicken.
Wählen Sie "Diese Regel spezifiziert keinen Tunnel" und klicken Sie dann auf [Weiter].
Wählen Sie den Netzwerktyp für IPsec und klicken Sie dann auf [Weiter].
Klicken Sie in der IP-Filterliste auf [Hinzufügen].
Geben Sie unter [Name] einen IP-Filternamen ein und klicken Sie dann auf [Hinzufügen].
Der IP-Filter-Assistent erscheint.
Auf [Weiter] klicken.
Geben Sie bei Bedarf eine Beschreibung des IP-Filters ein und klicken Sie dann auf [Weiter].
Wählen Sie unter "Quelladresse" die Option "Meine IP-Adresse" und klicken Sie auf [Weiter].
Wählen Sie "Spezielle IP-Adresse oder Subnetz" unter "Zieladresse", geben Sie die IP-Adresse des Geräts ein und klicken Sie dann auf [Weiter].
Wählen Sie den Protokolltyp für IPsec und klicken Sie dann auf [Weiter].
Wählen Sie bei Verwendung von IPsec mit IPv6 "58" als Protokollnummer für den Zielptorokolltyp "Andere".
Wenn Sie in Schritt 23 "TCP" oder "UDP" wählen, müssen Sie sowohl den Ausgangs- und den Ziel-Port eingeben und anschließend auf [Weiter] klicken.
Klicken Sie auf [Fertig stellen].
Klicken Sie auf [OK].
Wählen Sie den soeben erstellten IP-Filter und klicken Sie dann auf [Weiter].
Klicken Sie auf [Hinzufügen].
Der Filteraktions-Assistent wird angezeigt.
Auf [Weiter] klicken.
Geben Sie unter [Name] einen IP-Filteraktionsnamen ein und klicken Sie dann auf [Weiter].
Wählen Sie "Sicherheit aushandeln" und klicken Sie dann auf [Weiter].
Wählen Sie "Unsichere Kommunikation zulassen, wenn keine sichere Verbindung hergestellt werden kann" und dann klicken Sie auf [Weiter].
Wählen Sie "Benutzerdefiniert" und klicken Sie auf [Einstellungen].
Wählen Sie unter "Integritätsalgorithmus" den Authentifizierungsalgorithmus, der in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 2" im Gerät festgelegt wurde.
Wählen Sie unter "Verschlüsselungsalgorithmus" den Verschlüsselungsalgorithmus, der in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 2" im Gerät festgelegt wurde.
Aktivieren Sie unter Sitzungsschlüsseleinstellungen das Kontrollkästchen "Neuen Schlüssel alle:" und geben Sie die Gültigkeitsdauer (in Sekunden) ein, die in "Einstellungen für autom. Austausch des Verschlüsselungscodes Phase 2" im Gerät festgelegt wurde.
Klicken Sie auf [OK].
Auf [Weiter] klicken.
Klicken Sie auf [Fertig stellen].
Wählen Sie die soeben erstellte Filteraktion und klicken Sie dann auf [Weiter].
Wenn Sie „Einstellungen für autom. Austausch des Verschlüsselungscodes“ auf „Authentifizierung und hohe Verschlüsselung“ stellen, wählen Sie die IP-Filteraktion, die gerade erstellt wurde, klicken auf [Bearbeiten] und markieren anschließend „Sitzungsschlüssel Perfect Forward Secrecy (PFS)“ im Filteraktions-Eigenschaften-Dialogfenster. Wenn Sie PFS unter Windows verwenden, wird die in Phase 2 verwendete PFS-Gruppennummer automatisch in der Phase 1 anhand der Diffie-Hellman-Gruppennummer (festgelegt in Schritt 11) ausgehandelt. Wenn Sie die für die Sicherheitsstufe angegebenen automatischen Einstellungen im Gerät ändern und “Anwendereinstellungen” angezeigt wird, müssen Sie für "Phase 1 Diffie-Hellman Group" und "Phase 2 PFS" dieselbe Gruppennummer angeben, damit die IPsec-Übertragung eingerichtet wird.
Wählen Sie die anfängliche Authentifizierungsmethode und klicken Sie auf [Weiter].
Wenn Sie "Zertifikat" als Authentifizierungsverfahren in "Einstellungen für autom. Austausch des Verschlüsselungscodes" im Gerät gewählt haben, legen Sie das Gerätezertifikat fest. Wenn Sie "PSK" wählen, geben Sie den gleichen PSK-Text, der im Gerät eingegeben wurde, mit dem freigegebenen Schlüssel ein.
Klicken Sie auf [Fertig stellen].
Klicken Sie auf [OK].
Die neue IP-Sicherheitsrichtlinie (IPsec-Einstellungen) ist festgelegt.
Wählen Sie die soeben erstellte Sicherheitsrichtlinie, klicken Sie mit der rechten Maustaste und wählen Sie dann [Zuweisen].
IPsec-Einstellungen des Computers sind aktiviert.
Um die IPsec-Einstellungen des Computers zu deaktivieren, wählen Sie die Sicherheitsrichtlinie, klicken Sie mit der rechten Maustaste und wählen Sie dann [Zuweisung entfernen].