Dacă comutați constant între rețeaua Wi-Fi de acasă, rețeaua de la birou, rețeaua universității sau hotspotul mobil, modificarea manuală a setărilor de rețea este o adevărată bătaie de cap. Din fericire, Windows și alte sisteme de operare oferă modalități de a... creați profiluri automate pe baza rețelei WiFi la care vă conectați, controlează ce interfață este activată la un moment dat și aplică politici de securitate sau firewall-uri adaptate fiecărui mediu.
În acest articol veți vedea, în detaliu, cum funcționează acestea profiluri de rețeaCe îți permit să faci în Windows, cum să le integrezi cu instrumente precum Intune sau cu soluții de securitate, ce programe terțe ai nevoie pentru a merge mai departe și cum se potrivesc toate acestea cu concepte precum locații, grupuri de prioritate a interfeței sau profiluri IPsec în routerele enterprise.
Ce este un profil de rețea și de ce ați fi interesat să îl utilizați?
Un profil de rețea este practic un set de parametri predefiniți care sunt aplicați unei conexiuni (sau mai multe) în funcție de anumite condiții: rețeaua WiFi la care vă conectați, interfața activă, locația etc. Acești parametri pot varia de la IP și DNS la reguli de firewall, utilizare VPN, imprimante, resurse partajate sau chiar scripturi personalizate.
În Windows, sistemul clasifică deja rețelele ca public sau privatCând te conectezi pentru prima dată la o rețea Wi-Fi sau LAN, sistemul te întreabă dacă este o rețea de încredere. Dacă spui da, este considerată privată; dacă nu, publică. Pe baza acestei decizii, ajustează firewall-ul și vizibilitatea dispozitivului tău în rețea, relaxând securitatea în rețelele de acasă sau în birourile mici și consolidând-o în rețelele din hoteluri, aeroporturi sau cafenele.
Într-o rețea privatăWindows presupune că controlezi cine se conectează și că dispozitivele sunt cunoscute. Acest lucru îți permite, de exemplu, să descoperi alte computere din rețea, să accesezi foldere partajate, să trimiți lucrări de imprimare către imprimante de rețea sau să utilizezi funcții precum HomeGroup sau streaming către un Smart TV. Sistemul reduce restricțiile deoarece înțelege că mediul este relativ sigur.
Într-o retea publicaWindows presupune că rețeaua nu este de încredere. Prin urmare, dezactivează descoperirea dispozitivelor, partajarea fișierelor și imprimantelor și alte servicii care te-ar putea expune la atacuri de la alte dispozitive conectate. vulnerabilități precum cele din WhatsAppPoți naviga în continuare pe internet, dar dispozitivul tău este izolat de restul dispozitivelor, ceea ce este crucial atunci când te conectezi la WiFi într-un centru comercial, aeroport sau o rețea deschisă.
Problema apare atunci când același laptop este mutat mai multe rețele cu cerințe foarte diferiteUna ar putea necesita o adresă IP statică, alta ar putea folosi DHCP; una ar putea necesita accesul la un proxy corporativ, alta activarea unui VPN și încă una nu. Modificarea manuală a acesteia de fiecare dată este plictisitoare și predispusă la erori. Aici intervin profilurile de rețea avansate, atât în Windows, cât și prin programe specializate.
Automatizați setările la schimbarea rețelelor WiFi în Windows
Windows vă permite să definiți parametri diferiți pentru fiecare profil de rețea (public sau privat) și pentru fiecare conexiune specifică, dar gestionarea integrată este insuficientă dacă doriți Schimbați IP-ul, DNS-ul, proxy-ul, VPN-ul și firewall-ul simultan de fiecare dată când detectați un SSID diferit. Pentru aceasta, abordarea obișnuită este de a combina ceea ce oferă sistemul cu instrumente externe care gestionează profiluri avansate.
În interfața grafică de gestionare a rețelei din anumite medii (de exemplu, distribuții care utilizează concepte similare cu NCP-urile din Solaris) se face o distincție profiluri de rețea reactive și fixeProfilul reactiv „Automat” încearcă mai întâi să stabilească o conexiune prin cablu și, dacă aceasta eșuează, recurge la o conexiune wireless. Profilul fix „ImplicitFixat” definește un set static de interfețe care rămân neschimbate până la modificarea cu ajutorul instrumentelor din linia de comandă.
Aceste profiluri controlează ce interfețe pot fi activați sau dezactivați în orice momentPe un laptop obișnuit cu Ethernet și Wi-Fi, este posibil să doriți să utilizați doar Ethernet atunci când este disponibil un cablu și să dezactivați Wi-Fi-ul din motive de securitate sau invers. Interfața grafică Preferințe rețea oferă de obicei vizualizări pentru starea conexiunii, profilul de rețea și proprietățile conexiunii, unde puteți vedea starea curentă, ce profil este activ și proprietăți specifice (adresă IP, IPv4/IPv6, rețele wireless preferate etc.).
În plus, puteți defini locații Aceste setări grupează configurații precum serviciile de nume, firewall-ul și IPsec și sunt activate manual sau condiționat în funcție de reguli (de exemplu, o locație „Birou” dacă obțineți o adresă IP dintr-un anumit interval și o locație „Acasă” cu politici diferite). Doar o locație poate fi activă la un moment dat și poate fi modificată din pictograma de stare a rețelei sau cu comenzi precum netadm pe sistemele de tip Solaris.
Programe pentru crearea automată a profilurilor pentru fiecare rețea WiFi
Pentru a depăși ceea ce oferă Windows în mod implicit, există instrumente specifice care permit crearea și aplicarea profilurilor de rețea complete Depinde de rețeaua (SSID) la care te conectezi sau de adaptorul activ. Multe dintre ele sunt compatibile cu Windows XP până la Windows 11.
Comutare ușor de net
Comutare ușor de net Este un program plătit pentru Windows care se remarcă prin numărul enorm de setări de rețea pe care le poate gestiona. Deși interfața sa amintește de era Windows XP, rămâne compatibil cu Windows XP, 7, 8, 10 și 11și include atât interfață grafică, cât și mod linie de comandă pentru utilizatorii avansați.
Cu Easy Net Switch puteți defini profiluri care controlează practic totul: Adresă IP, mască de subrețea, gateway, DNS, WINS, NetBIOS, falsificare MAC, WiFi, VPN, proxy, firewall, imprimantă implicită, unități de rețea, rute staticeși chiar să rulați scripturi sau să modificați fișierul hosts. Fiecare parametru este opțional; vă puteți limita la IP și DNS sau puteți configura un profil foarte complex pentru un mediu corporativ.
Crearea unui profil se face de obicei făcând clic pe butonul „Nou”, utilizând un asistent de bază pe care îl puteți personaliza apoi. În secțiunea „Rețea”, alegeți dacă adresa IP și DNS sunt obținute prin DHCP sau sunt statice, iar în „Avansat” puteți modifica WINS, NetBIOS, schimba adresa MAC, șterge memoria cache DNS și multe altele. Când aplicați un profil, programul afișează o Rezumatul modificărilor și dacă au existat eroriceea ce facilitează diagnosticarea dacă ceva nu funcționează.
În secțiunea WiFi, Easy Net Switch vă permite să definiți profiluri wireless conectate la SSID-uri specificePuteți scana rețelele disponibile sau puteți introduce numele manual și puteți ajusta autentificarea: de la chei pre-partajate (PSK) la autentificare puternică cu RADIUS și diverse protocoale EAP. Acest lucru permite, de exemplu, pregătirea automată a profilului cu cheia corectă, autentificarea EAP corespunzătoare și, dacă este necesar, pregătirea automată a VPN-ului de fiecare dată când vedeți SSID-ul companiei.
Programul gestionează și setările pentru împuternicire corporativă (inclusiv autentificare), Dial-Up, VPN și chiar oferă instrumente integrate precum ping și traceroute, precum și un widget desktop pentru a vizualiza adresa IP curentă în orice moment. Opțiunile sale includ pornirea cu Windows, minimizarea în bara de sistem, dezactivarea detectării automate a rețelei Wi-Fi și protejarea prin parolă a accesului la programe pentru a preveni modificările neautorizate.
Manager TCP/IP
Manager TCP/IP Este un proiect gratuit și open-source care, deși nu a fost actualizat de ani de zile, încă funcționează bine pe versiunile recente de Windows. Se concentrează pe crearea unui număr nelimitat de profiluri de rețea care schimbă rapid... Configurație IP, mască de subrețea, gateway, DNS, proxy, nume grup de lucru și adresă MAC.
Unul dintre avantajele sale este că permite importă configurația curentă Sistemul vă permite să creați un profil din setările existente, fără a fi nevoie să introduceți manual totul. De asemenea, oferă opțiunea de a asocia fișiere batch cu fiecare profil, astfel încât activarea acestuia să execute automat comenzi suplimentare (de exemplu, montarea unităților de rețea sau lansarea unui VPN).
Comutarea între profiluri se poate face chiar din interfață sau prin tastele rapideIdeal pentru utilizatorii care trebuie să se miște rapid între medii (rețea corporativă, laborator, client etc.). În plus, programul se actualizează automat prin intermediul webului atunci când sunt disponibile versiuni noi, eliminând necesitatea descărcărilor manuale.
IP Shifter
IP Shifter Este o opțiune ușoară și gratuită, concepută pentru cei care au nevoie de ceva mai simplu. Este compatibilă cu Windows XP și versiunile ulterioare, inclusiv Windows 10 și Windows 11și funcționează cu diferite adaptoare, atât Ethernet, cât și WiFi.
Funcția sa principală este de a vă permite să modificați fără a reporni Configurarea IP, masca de subrețea, gateway-ul și DNS-ul al adaptoarelor. De asemenea, gestionează configurațiile proxy pentru browsere precum Microsoft Edge sau Firefox, integrează o comandă ping rapidă și poate detecta dispozitivele prezente în LAN, precum și afișa adresa IP publică pe care o vede Internetul.
Nu are nivelul de profunzime al lui Easy Net Switch sau NetSetMan, dar pentru comutați între două sau trei medii de bază (de exemplu, o adresă IP statică într-o rețea industrială și DHCP acasă) este de obicei suficientă.
NetSetMan
NetSetMan Este probabil cea mai puternică alternativă gratuită la Easy Net Switch. Are o versiune gratuită cu până la opt profiluri și o versiune Pro plătită cu Profiluri nelimitate și mai multe opțiuni orientate spre afaceriFilosofia lor este că, cu un singur clic, poți activa un set complet de setări de rețea.
Printre configurațiile pe care le permite se numără cele clasice (IP, mască, gateway, DNS), grup de lucru, imprimantă implicită, unități de rețea, tabelă de rutare, server SMTP, nume PC, adresă MAC, stare placă de rețea, viteză interfață, MTU, VLAN și multe altele. De asemenea, puteți defini parametrii serverului VPN, puteți lansa scripturi batch, VBScript sau JavaScript la schimbarea profilurilor, puteți rula alte programe și chiar puteți gestiona în detaliu setările WiFi.
Versiunea Pro adaugă funcții precum configurații avansate de proxy și domenii de rețeaAcestea sunt foarte utile pentru integrarea cu medii de domeniu corporative și servere proxy centralizate. Cu toate acestea, versiunea gratuită nu poate fi utilizată pe Windows Server și limitează numărul de profiluri la opt, un aspect de reținut dacă gestionați mai multe locații.
Profiluri WiFi gestionate cu Microsoft Intune
În mediile corporative unde gestionați sute sau mii de dispozitive, nu vă puteți baza pe fiecare utilizator să își configureze corect rețeaua Wi-Fi. Aici intervine Microsoft Intune, permițându-vă să Creați profiluri WiFi și distribuiți-le pe dispozitive Windows, Android, iOS și macOS. și altele, într-un mod centralizat.
Un Profil WiFi Intune Este un set de parametri de conectare (SSID, tip de securitate, metodă de autentificare, parolă, certificate etc.) atribuiți grupurilor de utilizatori sau dispozitive. Odată ce un dispozitiv primește profilul, rețeaua apare în lista de rețele cunoscute și, dacă se află în raza de acțiune, dispozitivul se poate conecta automat fără ca utilizatorul să fie nevoit să modifice setările.
Pentru a crea un profil WiFi standard în Intune, urmați un proces similar cu alte politici: accesați Centrul de administrare Microsoft IntuneAccesați Dispozitive, Setări, creați o politică nouă, alegeți platforma (Android, iOS, macOS, Windows 10/11 etc.) și selectați „Wi-Fi” sau șablonul corespunzător ca tip de profil. Apoi definiți numele profilului, o descriere și configurați opțiunile specifice platformei: SSID, tipul de autentificare (WPA2, WPA3, EAP-TLS etc.), utilizarea certificatului, parametrii avansați și, în final, atribuiți profilul grupurilor corespunzătoare.
Alocarea poate fi filtrată cu etichete de domeniuAcestea sunt utile pentru separarea responsabilităților între diferite echipe IT (de exemplu, o echipă de asistență locală care gestionează o singură țară). Odată distribuit, profilul apare în lista de profiluri Intune și este aplicat automat atunci când dispozitivele se sincronizează.
Profiluri WiFi cu configurare PSK și XML folosind Intune
Pe lângă profilurile WiFi standard, Intune vă permite să definiți Profiluri WiFi bazate pe cheie pre-partajată (PSK) și EAP folosind directive personalizate și CSP WiFi. Acest lucru se realizează prin fișiere XML care descriu profilul wireless și sunt trimise către dispozitive prin OMA-URI.
Cheile pre-partajate sunt utilizate în mod obișnuit pentru autentificarea utilizatorilor în rețelele WiFi de acasă sau în rețelele LAN wireless de mici dimensiuniCu Intune, puteți crea o politică de configurare personalizată a dispozitivului care conține profilul Wi-Fi în format XML și o configurație OMA-URI care îl livrează sistemului de operare. Această opțiune este disponibilă pentru Android (inclusiv modurile de profil Enterprise și Work), Windows și rețele bazate pe EAP.
Pentru ca acesta să funcționeze, trebuie să pregătiți un fișier XML care descrie profilul, inclusiv Numele profilului, SSID-ul (în text și hexazecimal), tipul de autentificare, tipul de criptare, cheia, modul de conectare, dacă rețeaua este ascunsăetc. Opțional, puteți extrage acest fișier XML de pe un computer Windows care are deja rețeaua configurată folosind comenzile netsh.
Crearea unei politici personalizate în Intune implică revenirea la Dispozitive, Setări, crearea unei politici noi, alegerea platformei și selectarea tipului „Personalizat”. În cadrul opțiuni de configurare Adăugați o nouă intrare OMA-URI care să indice:
- nume și descrierea configurației.
- El OMA-URI potrivit, de exemplu:
- Pe Android: ./Vendor/MSFT/WiFi/Profil/{SSID}/Settings
- Pe Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
- Tip de date „Șir”.
- În «Valoare», fișierul XML complet al profilului WiFi.
Este important ca valoarea lui {SSID} din OMA-URI să corespundă cu nume descriptiv al rețelei în profilul XMLDacă numele conține spații, acestea trebuie codificate ca %20 în OMA-URI. În plus, în XML, câmpul Trebuie să rămână fals pentru ca cheia să fie trimisă în text simplu (criptată de canalul de administrare, dar nu ofuscată în XML). Dacă este setată la true, dispozitivul s-ar putea aștepta la o parolă criptată și conectarea nu ar putea fi posibilă.
Un exemplu generic de profil WiFi cu PSK ar include un bloc cu numele, SSID-ul în hexadecimal și text, ESS , mașină , un bloc cu tipul de autentificare (de exemplu, WPA2PSK) și criptarea (AES) și un bloc cu Frază de acces , fals şi parolă , unde „parolă” este cheia în text simplu.
Pentru rețelele bazate pe EAP, XML-ul este mult mai complex deoarece include configurații de EapHostConfig, certificate, validare server, liste hash CA, EKU etc.Sunt definiți parametri precum tipul EAP (de exemplu, 13 pentru EAP-TLS), sursa de acreditări (depozitul de certificate), dacă este permisă sau nu validarea serverului și posibile filtre de certificate care utilizează EKU-uri de autentificare a clientului.
Odată ce politica personalizată este creată, aceasta este atribuită acelorași grupuri pe care le-ați utiliza cu un profil Wi-Fi standard. La înregistrare sau sincronizare, dispozitivul primește fișierul XML, îl importă ca profil wireless și este gata să se conecteze automat la rețeaua respectivă.
Creați fișierul XML dintr-o conexiune WiFi existentă
În multe cazuri, este mai convenabil să lăsați Windows să genereze fișierul XML dintr-o conexiune funcțională existentă. Pentru a face acest lucru pe un computer cu Windows, puteți urma acești pași de bază: exportă profilul WiFi:
- Creați un folder local, de exemplu, c:\WiFi.
- Deschideți o linie de comandă ca administrator.
- Alerga netsh wlan arată profiluri pentru a vedea numele profilurilor existente.
- Exportați profilul dorit cu
netsh wlan export profil name="ProfilName" folder="c:\WiFi".
Dacă profilul include o cheie pre-partajată și doriți ca XML-ul să conțină parola în text simplu (necesar pentru ca Intune să o utilizeze corect), parametrul este adăugat. cheie = clear la comanda de export. Fișierul XML generat (cu un nume similar cu Wi-Fi-ProfileName.xml) poate fi deschis cu un editor de text, revizuit și copiat direct în valoarea de configurare OMA-URI din Intune.
Anumite detalii trebuie monitorizate, cum ar fi elementul Profilul exportat nu include spații care ar putea cauza erori de alocare la utilizarea Intune sau că valoarea se potrivesc cu SSID-ul specificat. În plus, caracterele speciale din XML (cum ar fi ampersand &) trebuie să fie corect marcate cu escape pentru a evita erorile de procesare.
Cele mai bune practici la utilizarea PSK și a rotației tastelor
Atunci când gestionați rețele WiFi cu PSK într-un mediu corporativ, este esențial să planificați rotația paroleiSchimbarea bruscă a parolei fără avertisment poate deconecta multe dispozitive care se bazează pe acea rețea pentru a comunica cu Intune și a primi noile setări.
Este recomandabil să verificați mai întâi dacă dispozitivele pot conectați-vă direct la punctul de acces Cu configurația planificată, proiectați schimbarea cheii astfel încât să existe o conexiune alternativă la internet: o rețea pentru oaspeți, o rețea Wi-Fi paralelă temporară sau date mobile. În acest fel, chiar dacă rețeaua Wi-Fi a companiei își modifică PSK-ul, dispozitivele pot utiliza conexiunea secundară pentru a primi noul profil.
De asemenea, este recomandabil să programați implementarea de noi profiluri în orele de vârf și să notifice utilizatorii că este posibil ca conectivitatea să fie afectată pentru o perioadă de timp. Acest lucru reduce impactul asupra productivității și facilitează monitorizarea erorilor sau anomaliilor în timpul procesului.
Profiluri de conexiune la rețea și reguli de firewall
Unele soluții de securitate, cum ar fi suitele de protecție a terminalelor (hexlock), permit definirea profiluri de conexiune la rețea personalizate Aceste profiluri sunt aplicate conexiunilor specifice pe baza unor declanșatoare sau condiții. Ele adaugă un nivel suplimentar configurației Windows, ajustând firewall-ul, vizibilitatea dispozitivului și alte protecții în funcție de rețea.
În consola de configurare avansată, există de obicei o secțiune „Profiluri de conexiune la rețea” cu profiluri predefinite, cum ar fi privat y Public Aceste profiluri nu pot fi modificate sau șterse. Profilul Privat este destinat rețelelor de încredere (acasă sau de la birou), unde este permis accesul la fișiere partajate, imprimante, comunicare RPC primită și desktop la distanță. Profilul Public, pe de altă parte, blochează partajarea fișierelor și a resurselor și este destinat rețelelor nede încredere.
Pe lângă aceste profiluri, puteți crea profiluri personalizate și ajustați parametri precum numele, descrierea, adresele suplimentare de încredere, dacă conexiunea este considerată de încredere (adăugând subrețele întregi în zona securizată) și activați funcții precum „Raport de criptare WiFi slabă”, care vă avertizează atunci când vă conectați la rețele deschise sau slab protejate.
Fiecare profil poate avea activatoriAdică, condițiile care trebuie îndeplinite pentru ca un profil să fie aplicat unei conexiuni: adresa IP a gateway-ului, SSID-ul Wi-Fi, tipul de rețea etc. Profilurile sunt evaluate în funcție de o ordine de prioritate, iar primul care îndeplinește condițiile este aplicat. Acest lucru permite, de exemplu, existența unui profil specific pentru Wi-Fi-ul companiei, unul generic pentru rețelele de domiciliu și unul foarte restrictiv pentru orice rețea publică necunoscută.
Gestionarea profilurilor și a locațiilor în medii avansate
În sistemele mai avansate sau în rețelele de întreprinderi cu Solaris sau alte platforme, conceptul de profil de rețea este combinat cu Unități de configurare a rețelei (NCU), grupuri de prioritate și locațiiPrintr-o interfață grafică a Preferințelor de rețea sau comenzi precum ipadm, dladm, netcfg și netadm, puteți crea profiluri reactive și fixe, grupa interfețe și defini reguli de activare.
Vizualizarea Profil de rețea din interfața grafică afișează o lista de profiluri disponibilecu indicatori care arată care dintre ele este activ. Profilurile definite de sistem, cum ar fi „Automat” și „Implicit Fixat”, nu pot fi editate sau șterse, dar puteți crea mai multe profiluri reactive personalizate. Fiecare profil include un set de conexiuni (NCU) care sunt activate sau dezactivate atunci când profilul intră în vigoare.
Pentru organizarea interfețelor se utilizează următoarele: grupuri prioritare cu trei tipuri principale:
- Exclusiv: o singură conexiune din grup poate fi activă, iar cât timp una este activă, grupurile cu prioritate mai mică nu sunt atinse.
- Partajat: toate conexiunile posibile din grup sunt activate și, atâta timp cât cel puțin una este activă, grupurile inferioare nu sunt utilizate.
- Toate: toate trebuie să fie active; dacă una eșuează, toate sunt dezactivate, fără a încerca grupuri cu prioritate mai mică.
Profilul „Automat”, de exemplu, are de obicei următoarele în grupul său de prioritate maximă: interfețe cu firConexiunile wireless se află într-un grup de prioritate mai mică. Prin urmare, dacă este disponibil un cablu, Ethernet-ul este întotdeauna prioritizat, iar Wi-Fi-ul este evitat, cu excepția cazului în care este absolut necesar.
În ceea ce privește locații din rețeaAceste setări grupează configurații pentru serviciile de nume (DNS, LDAP etc.) și securitate (fișiere de configurare pentru firewall-uri IP și IPsec). Pot fi definite locații de sistem (Automat, NoNet, DefaultFixed), locații manuale sau locații condiționate. Locațiile manuale sunt activate manual prin intermediul casetei de dialog Locații, în timp ce locațiile condiționate sunt activate pe baza unor reguli (de exemplu, tipul de rețea, adresa IP obținută etc.).
Din interfața grafică puteți schimba modul de activare al unei locații, îl puteți seta la „doar manual” sau „declanșat de reguli” și puteți edita acele reguli pentru a defini exact În ce situații este utilizat fiecare set de politici?Activarea unei noi locații dezactivează întotdeauna cea anterioară, asigurându-se că doar una dintre ele este activă la un moment dat.
Profiluri IPsec pe routere pentru conexiuni securizate
Întregul sistem de profilare nu se limitează la dispozitivele utilizatorilor finali. Se aplică și routerelor profesionale, cum ar fi cele din serie. Cisco RV160 și RV260Profilurile IPsec sunt utilizate pentru a definește modul în care traficul dintre site-uri este protejat folosind VPN.
Un Profil IPsec Acesta grupează algoritmii și parametrii utilizați în negocierea cheilor (faza I și IKE) și criptarea datelor (faza II). Aceasta include aspecte precum algoritmul de criptare (3DES, AES-128, AES-192, AES-256), metoda de autentificare (MD5, SHA1, SHA2-256), grupul Diffie-Hellman (de exemplu, Grupul 2 de 1024 biți sau Grupul 5 de 1536 biți), durata asocierilor de securitate (SA) și dacă se utilizează modul de codificare automată (IKEv1 sau IKEv2) sau modul de codificare manuală.
La faza I Acesta stabilește o comunicare securizată și autentificată între cele două puncte finale VPN, negociind chei și autentificând partenerii. În această fază, se alege IKEv1 sau IKEv2, împreună cu grupul DH, algoritmul de criptare și hash-ul de autentificare, precum și durata de viață a SA (de exemplu, 28800 de secunde). IKEv2 este de obicei preferat deoarece este mai eficient, necesită un schimb mai mic de pachete și acceptă mai multe opțiuni de autentificare.
La faza II Se ocupă de criptarea traficului propriu-zis. Definiți dacă utilizați ESP (pentru criptare și, opțional, autentificare) sau AH (doar autentificare, fără confidențialitate), selectați din nou algoritmii de criptare și hashing, verificați dacă se dorește Perfect Forward Secrecy (PFS) și ajustați durata de viață a IPsec SA (de exemplu, 3600 de secunde). Recomandarea este de obicei ca durata de viață a Fazei I să fie mai mare decât cea a fazei a II-aastfel încât cheile de date să fie reînnoite mai frecvent decât cheile de canal.
În configurația unui RV160/RV260, accesați meniul VPN > IPSec VPN > IPSec Profiles, adăugați un profil nou, denumiți-l (de exemplu, „HomeOffice”), alegeți modul de creare a cheii (Automat), versiunea IKE (în mod ideal IKEv2 dacă ambele capete o acceptă), parametrii Phase I și Phase II, activați PFS dacă este posibil și selectați din nou grupul DH pentru Phase II. În final, aplicați și salvați configurația astfel încât să persiste după reporniri, copiind fișierul... configurația rulează la pornire.
Este esențial ca ambele capete ale unui tunel site-to-site să aibă aceiași parametri de profil (aceiași algoritmi, durate de viață, versiune IKE, PSK sau certificate etc.). În caz contrar, negocierea va eșua și tunelul nu va fi stabilit.
Luate împreună, această combinație de profiluri WiFi, profiluri de rețea, locații, configurație Intune și profiluri IPsec pe routere vă permite să creați medii în care computerul, laptopul sau dispozitivul mobil se adaptează aproape automat la rețeaua la care se află. Alegeți interfața potrivită, aplicați securitatea corectă, conectați-vă la WiFi fără intervenția utilizatorului, activați VPN-ul atunci când este nevoie și ajustați firewall-ul în funcție de context.Aceasta este, în cele din urmă, cea mai practică și sigură modalitate de a crea profiluri automate pe baza rețelei WiFi pe care o utilizați. Distribuiți aceste informații pentru ca mai mulți utilizatori să cunoască acest subiect..