Questa schermata consente di definire o modificare una policy VPN in modo automatico.
Una policy automatica per VPN usa il protocollo IKE (Internet Key Protocol) per scambiare e negoziare parametri per associazione di sicurezza (SA) IPsec. Grazie a questa negoziazione, non è necessario che tutte le impostazioni del gateway della VPN corrispondano a quelle dell'endpoint remoto della VPN. Se necessario, viene indicato che le impostazioni devono corrispondere.
Queste impostazioni consentono di identificare la policy e determinarne le principali caratteristiche.
Inserire un nome univoco per identificare questa policy. Questo nome non viene fornito all'endpoint remoto della VPN, ma viene usato solamente per facilitare la gestione delle policy.
Se l'endpoint remoto dispone di un indirizzo IP dinamico, selezionare Indirizzo IP dinamico. Non è necessario inserire informazioni nel campo Dati indirizzo.
Altrimenti, selezionare l'opzione desiderata (indirizzo IP o nome dominio) e inserire l'indirizzo dell'endpoint remoto della VPN a cui si desidera connettersi.
Nota: l'endpoint remoto della VPN deve presentare questo indirizzo del gateway della VPN nel campo Endpoint remoto della VPN.
Attivare questa opzione qualora si desideri assicurare una connessione permanente. Laddove ciò non fosse possibile, il ripristino avverrà velocemente a disconnessione avvenuta.
L'indirizzo IP Ping deve essere associato all'endpoint remoto. È possibile utilizzare sia un indirizzo WAN che un indirizzo LAN. Tuttavia, è preferibile l'uso di un indirizzo LAN. Tale indirizzo IP sarà utilizzato per generare traffico destinato al tunnel VPN.
Questa opzione consente di identificare quali PC sulla LAN sono coperti da questa policy. Per ciascuna selezione, inserire i dati seguendo questa procedura:
L'endpoint remoto della VPN deve presentare questi indirizzi IP come indirizzi remoti.
Questa opzione consente di identificare quali PC sulla LAN remota sono coperti da questa policy. Per ciascuna selezione, inserire i dati seguendo questa procedura:
Deve presentare questi indirizzi IP come indirizzi locali.
Instradamento/Tipo: questa impostazione viene usata per determinare se la policy IKE corrisponde all'attuale traffico. Selezionare l'opzione desiderata.
Modalità scambio
Attualmente, è supportata solo la funzione Modalità principale. Assicurarsi che l'endpoint remoto della VPN sia impostato su Modalità principale.
Gruppo Diffie-Hellman (DH): l'algoritmo Diffie-Hellman viene usato per lo scambio di chiavi. Le impostazioni del gruppo DH determinano il numero di bit usato per lo scambio. Tale valore deve corrispondere al valore usato sul gateway remoto della VPN.
Tipo identità locale
Selezionare l'opzione corrispondente al tipo di identità remota sull'endpoint remoto della VPN.
Dati identità locale
Inserire i dati relativi alla selezione effettuata sopra. (Se si è selezionata la voce Indirizzo IP WAN, non è necessario inserire altri dati.)
Tipo identità remota
Selezionare l'opzione corrispondente al tipo di identità locale sull'endpoint remoto della VPN.
Dati identità remota
Inserire i dati relativi alla selezione effettuata sopra. (Se si è selezionata la voce Indirizzo IP non è necessario inserire altri dati).
Algoritmo di crittografia: viene usato per IKE e IPSec. Tale impostazione deve corrispondere all'impostazione usata sul gateway remoto della VPN.
Algoritmo di autenticazione: viene usato per IKE e IPSec. Tale impostazione deve corrispondere all'impostazione usata sul gateway remoto della VPN.
Chiave precondivisa: inserire questa chiave qui e sul gateway remoto della VPN.
Determina l'intervallo di tempo prima della scadenza dell'associazione di sicurezza (SA). (La connessione viene ristabilita automaticamente, se richiesto). L'uso di un breve intervallo (valore) aumenta la sicurezza ma riduce la qualità delle prestazioni. Solitamente vengono usati intervalli superiori a un'ora (3600 secondi). Questa impostazione si applica a IKE e associazioni di sicurezza IPSec.
Abilitando questa opzione, si dispone di una migliore sicurezza poiché la chiave viene cambiata a intervalli regolari. Inoltre, anche se una chiave viene decodificata, non è semplice decodificare quelle successive. (Le chiavi non sono correlate tra loro.)
Questa impostazione si applica a IKE e associazioni di sicurezza IPSec. Quando si configura l'endpoint remoto in modo da farlo corrispondere a questa impostazione, potrebbe essere richiesto di specificare il gruppo di chiavi. Per questo dispositivo, il gruppo di chiavi è uguale all'impostazione Gruppo DH nella sezione IKE.