Sådan opretter du automatiske profiler baseret på det Wi-Fi-netværk, du bruger

  • Netværksprofiler giver dig mulighed for at automatisere IP, DNS, firewall, VPN og delte ressourcer baseret på WiFi-netværket eller placeringen.
  • Værktøjer som Easy Net Switch, NetSetMan eller TCP/IP Manager udvider de indbyggede funktioner i Windows til at skifte miljøer med et enkelt klik.
  • I virksomhedsmiljøer distribuerer Intune centralt WiFi-profiler (herunder PSK og EAP i XML) til flere platforme.
  • Yderligere sikkerhedsprofiler, såsom forbindelsesprofiler og IPsec-profiler på routere, fuldender beskyttelsen og automatiseringen på tværs af websteder.
Joaquin Romero

19 minutter

Sådan opretter du automatiske profiler til dit Wi-Fi-netværk

Hvis du konstant skifter mellem dit Wi-Fi-netværk derhjemme, kontorets netværk, universitetets netværk eller dit mobile hotspot, er det virkelig besværligt at ændre netværksindstillingerne manuelt. Heldigvis tilbyder Windows og andre operativsystemer måder at Opret automatiske profiler baseret på det WiFi-netværk, du opretter forbindelse til, kontrollere hvilken grænseflade der aktiveres på et givet tidspunkt og anvende sikkerhedspolitikker eller firewalls tilpasset hvert miljø.

I denne artikel vil du se i detaljer, hvordan de fungerer netværksprofilerHvad de giver dig mulighed for at gøre i Windows, hvordan du integrerer dem med værktøjer som Intune eller sikkerhedsløsninger, hvilke tredjepartsprogrammer du har for at gå videre, og hvordan alt dette passer med koncepter som placeringer, grænsefladeprioritetsgrupper eller IPsec-profiler i virksomhedsroutere.

Hvad er en netværksprofil, og hvorfor ville du være interesseret i at bruge den?

En netværksprofil er dybest set et sæt af foruddefinerede parametre, der anvendes på en forbindelse (eller flere) afhængigt af visse forhold: det WiFi-netværk, du opretter forbindelse til, den aktive grænseflade, placeringen osv. Disse parametre kan variere fra IP og DNS til firewallregler, VPN-brug, printere, delte ressourcer eller endda brugerdefinerede scripts.

I Windows klassificerer systemet allerede netværk som offentlig eller privatNår du opretter forbindelse til et Wi-Fi- eller LAN-netværk for første gang, spørger systemet, om det er et betroet netværk. Hvis du svarer ja, betragtes det som privat; hvis nej, offentligt. Baseret på denne beslutning justerer det firewallen og din enheds synlighed på netværket, hvilket lemper sikkerheden på hjemmenetværk eller små kontorer og styrker den på netværk på hoteller, lufthavne eller caféer.

I én privat netværkWindows antager, at du kontrollerer, hvem der opretter forbindelse, og at enhederne er kendte. Dette giver dig f.eks. mulighed for at finde andre computere på netværket, få adgang til delte mapper, sende udskriftsjob til netværksprintere eller bruge funktioner som Hjemmegruppe eller streaming til et Smart TV. Systemet reducerer begrænsninger, fordi det forstår, at miljøet er relativt sikkert.

I én offentlige netværkWindows antager, at netværket ikke er tillidsfuldt. Derfor deaktiverer det enhedsregistrering, fil- og printerdeling og andre tjenester, der kan udsætte dig for angreb fra andre tilsluttede enheder. sårbarheder som dem i WhatsAppDu kan stadig surfe på internettet, men din enhed er isoleret fra resten, hvilket er afgørende, når du opretter forbindelse til WiFi i et indkøbscenter, en lufthavn eller et åbent netværk.

Problemet opstår, når den samme bærbare computer flyttes rundt flere netværk med meget forskellige kravEn kræver måske en statisk IP-adresse, en anden bruger DHCP; en kræver måske, at du går gennem en virksomhedsproxy, en anden aktiverer en VPN, og endnu en gør måske ikke. At ændre dette manuelt hver gang er besværligt og fejlbehæftet. Det er her, avancerede netværksprofiler kommer ind i billedet, både i Windows og via specialiserede programmer.

Automatiser indstillinger ved skift af WiFi-netværk i Windows

Windows giver dig mulighed for at definere forskellige parametre pr. netværksprofil (offentlig eller privat) og pr. specifik forbindelse, men den integrerede administration er utilstrækkelig, hvis du ønsker det. Skift IP, DNS, proxy, VPN og firewall på én gang hver gang du registrerer et andet SSID. Til dette formål er den sædvanlige fremgangsmåde at kombinere det, systemet tilbyder, med eksterne værktøjer, der administrerer avancerede profiler.

I den grafiske netværksstyringsgrænseflade i nogle miljøer (for eksempel distributioner, der bruger koncepter svarende til Solaris' NCP'er) skelnes der mellem reaktive og faste netværksprofilerDen reaktive profil "Automatisk" forsøger først at etablere en kabelforbindelse, og hvis det mislykkes, tyr den til en trådløs forbindelse. Den faste profil "Standardfast" definerer et statisk sæt af grænseflader, der forbliver uændrede, indtil de ændres ved hjælp af kommandolinjeværktøjer.

Disse profiler styrer, hvilke grænseflader der kan være aktivere eller deaktivere når som helstPå en typisk bærbar computer med Ethernet og Wi-Fi vil du måske kun bruge Ethernet, når der er et kabel tilgængeligt, og slukke Wi-Fi af sikkerhedsmæssige årsager, eller omvendt. Netværksindstillingernes brugergrænseflade viser normalt forbindelsesstatus, netværksprofil og forbindelsesegenskaber, hvor du kan se den aktuelle status, hvilken profil der er aktiv, og specifikke egenskaber (IP-adresse, IPv4/IPv6, foretrukne trådløse netværk osv.).

Derudover kan du definere placeringer Disse indstillinger grupperer konfigurationer som navnetjenester, firewall og IPsec, og aktiveres manuelt eller betinget i henhold til regler (f.eks. en "Kontor"-placering, hvis du henter en IP-adresse fra et bestemt område, og en "Hjemme"-placering med forskellige politikker). Kun én placering kan være aktiv ad gangen, og den kan ændres fra netværksstatusikonet eller med kommandoer som netadm på Solaris-lignende systemer.

Programmer til at oprette automatiske profiler pr. WiFi-netværk

For at gå ud over, hvad Windows tilbyder som standard, findes der specifikke værktøjer, der tillader oprette og anvende komplette netværksprofiler Det afhænger af det netværk (SSID), du opretter forbindelse til, eller den aktive adapter. Mange af dem understøtter Windows XP til og med Windows 11.

Easy Net Switch

Easy Net Switch Det er et betalt program til Windows, der skiller sig ud ved det enorme antal netværksindstillinger, det kan håndtere. Selvom dets brugerflade minder om Windows XP-æraen, er det stadig kompatibelt med Windows XP, 7, 8, 10 og 11, og inkluderer både GUI og kommandolinjetilstand for avancerede brugere.

Med Easy Net Switch kan du definere profiler, der styrer stort set alt: IP-adresse, subnetmaske, gateway, DNS, WINS, NetBIOS, MAC-spoofing, WiFi, VPN, proxy, firewall, standardprinter, netværksdrev, statiske ruterog endda køre scripts eller ændre hosts-filen. Hver parameter er valgfri; du kan begrænse dig selv til IP og DNS eller oprette en meget kompleks profil til et virksomhedsmiljø.

Oprettelse af en profil gøres normalt ved at klikke på knappen "Ny" ved hjælp af en grundlæggende guide, som du derefter kan tilpasse. I afsnittet "Netværk" vælger du, om IP-adressen og DNS hentes via DHCP eller er statiske, og i "Avanceret" kan du ændre WINS, NetBIOS, ændre MAC-adressen, rydde DNS-cachen og meget mere. Når du anvender en profil, viser programmet en Oversigt over ændringer og eventuelle fejlhvilket gør det nemmere at diagnosticere, hvis noget ikke fungerer.

I WiFi-sektionen giver Easy Net Switch dig mulighed for at definere trådløse profiler knyttet til specifikke SSID'erDu kan scanne efter tilgængelige netværk eller indtaste navnet manuelt og justere godkendelsen: fra foruddelte nøgler (PSK) til stærk godkendelse med RADIUS og forskellige EAP-protokoller. Dette gør det muligt for eksempel automatisk at forberede profilen med den korrekte nøgle, den relevante EAP-godkendelse og, om nødvendigt, VPN'en, hver gang du ser virksomhedens SSID.

Programmet administrerer også indstillinger for virksomhedsfuldmagt (inklusive godkendelse), opkald, VPN og tilbyder endda integrerede værktøjer som ping og traceroute, samt en desktop-widget til at se den aktuelle IP-adresse til enhver tid. Dens muligheder inkluderer at starte med Windows, minimere til proceslinjen, deaktivere automatisk Wi-Fi-netværksdetektering og adgangskodebeskyttelse af programadgang for at forhindre uautoriserede ændringer.

TCP/IP Manager

TCP/IP Manager Det er et gratis open source-projekt, der, selvom det ikke er blevet opdateret i årevis, stadig fungerer godt på nyere versioner af Windows. Det fokuserer på at oprette et ubegrænset antal netværksprofiler, der hurtigt ændrer IP-konfiguration, subnetmaske, gateway, DNS, proxy, arbejdsgruppenavn og MAC-adresse.

En af dens fordele er, at den tillader importer den nuværende konfiguration Systemet giver dig mulighed for at oprette en profil ud fra dine eksisterende indstillinger uden at skulle indtaste alt manuelt. Det tilbyder også muligheden for at tilknytte batchfiler til hver profil, så aktivering automatisk udfører yderligere kommandoer (f.eks. montering af netværksdrev eller opstart af en VPN).

Skift mellem profiler kan gøres fra selve brugerfladen eller via genvejstasterIdeel til brugere, der har brug for hurtigt at bevæge sig mellem miljøer (virksomhedsnetværk, laboratorium, klient osv.). Derudover opdateres programmet automatisk via internettet, når nye versioner er tilgængelige, hvilket eliminerer behovet for manuelle downloads.

IP Shifter

IP Shifter Det er en let og gratis løsning designet til dem, der har brug for noget enklere. Den understøtter Windows XP og nyere versioner, inklusive Windows 10 og Windows 11og fungerer med forskellige adaptere, både Ethernet og WiFi.

Dens hovedfunktion er at give dig mulighed for at ændre uden at genstarte IP-konfiguration, subnetmaske, gateway og DNS af adapterne. Den håndterer også proxykonfigurationer til browsere som Microsoft Edge eller Firefox, integrerer en hurtig ping-kommando og kan registrere de enheder, der er til stede på LAN'et, samt vise den offentlige IP-adresse, som internettet ser.

Den har ikke det samme dybdeniveau som Easy Net Switch eller NetSetMan, men for skift mellem to eller tre grundlæggende miljøer (for eksempel en statisk IP-adresse i et industrielt netværk og DHCP derhjemme) er normalt tilstrækkeligt.

NetSetMan

NetSetMan Det er nok det mest kraftfulde gratis alternativ til Easy Net Switch. Det har en gratis version med op til otte profiler og en betalt Pro-version med Ubegrænsede profiler og flere forretningsorienterede mulighederDeres filosofi er, at du med et enkelt klik kan aktivere et komplet sæt netværksindstillinger.

Blandt de konfigurationer, den tillader, er de klassiske (IP, maske, gateway, DNS), arbejdsgruppe, standardprinter, netværksdrev, routingtabel, SMTP-server, pc-navn, MAC-adresse, netværkskortstatus, interfacehastighed, MTU, VLAN og meget mere. Du kan også definere VPN-serverparametre, starte batch-, VBScript- eller JavaScript-scripts, når du skifter profil, køre andre programmer og endda administrere WiFi-indstillinger i detaljer.

Pro-versionen tilføjer funktioner som f.eks. avancerede proxykonfigurationer og netværksdomænerDisse er meget nyttige til integration med virksomhedsdomænemiljøer og centraliserede proxyservere. Den gratis version kan dog ikke bruges på Windows Server og begrænser antallet af profiler til otte, hvilket er værd at huske på, hvis du administrerer mange lokationer.

WiFi-profiler administreret med Microsoft Intune

I virksomhedsmiljøer, hvor du administrerer hundredvis eller tusindvis af enheder, kan du ikke stole på, at hver bruger konfigurerer deres Wi-Fi-netværk korrekt. Det er her, Microsoft Intune kommer ind i billedet, så du kan Opret WiFi-profiler og distribuer dem til Windows-, Android-, iOS- og macOS-enheder. og andre, på en centraliseret måde.

Un Intune WiFi-profil Det er et sæt forbindelsesparametre (SSID, sikkerhedstype, godkendelsesmetode, adgangskode, certifikater osv.), der er tildelt grupper af brugere eller enheder. Når en enhed modtager profilen, vises netværket på listen over kendte netværk, og hvis det er inden for rækkevidde, kan enheden oprette forbindelse automatisk, uden at brugeren behøver at ændre nogen indstillinger.

For at oprette en standard WiFi-profil i Intune skal du følge en lignende proces som andre politikker: du tilgår Microsoft Intune AdministrationscenterGå til Enheder, Indstillinger, opret en ny politik, vælg platformen (Android, iOS, macOS, Windows 10/11 osv.), og vælg "Wi-Fi" eller den tilsvarende skabelon som profiltype. Definer derefter profilnavnet, en beskrivelse, og konfigurer de platformspecifikke indstillinger: SSID, godkendelsestype (WPA2, WPA3, EAP-TLS osv.), certifikatbrug, avancerede parametre, og tildel endelig profilen til de relevante grupper.

Allokeringen kan filtreres med omfangsetiketterDisse er nyttige til at adskille ansvarsområder mellem forskellige IT-teams (f.eks. et lokalt supportteam, der kun administrerer ét land). Når profilen er distribueret, vises den på Intune-profillisten og anvendes automatisk, når enheder synkroniseres.

WiFi-profiler med PSK- og XML-konfiguration ved hjælp af Intune

Trin til at oprette automatiske profiler på dit Wi-Fi-netværk

Ud over standard WiFi-profiler giver Intune dig mulighed for at definere WiFi-profiler baseret på foruddelt nøgle (PSK) og EAP ved hjælp af brugerdefinerede direktiver og WiFi CSP. Dette gøres via XML-filer, der beskriver den trådløse profil og sendes til enheder via OMA-URI.

Foruddelte nøgler bruges almindeligvis til godkende brugere på hjemme-WiFi-netværk eller små trådløse LAN'erMed Intune kan du oprette en brugerdefineret enhedskonfigurationspolitik, der indeholder Wi-Fi-profilen i XML-format og en OMA-URI-konfiguration, der leverer den til operativsystemet. Denne mulighed er tilgængelig for Android (inklusive Enterprise- og Work-profiltilstande), Windows og EAP-baserede netværk.

For at det kan virke, skal du forberede en XML-fil, der beskriver profilen, inklusive Profilnavn, SSID (i tekst og hexadecimal), godkendelsestype, krypteringstype, nøgle, forbindelsestilstand, om netværket er skjultosv. Du kan eventuelt udtrække denne XML fra en Windows-computer, hvor netværket allerede er konfigureret, ved hjælp af netsh-kommandoer.

Oprettelse af en brugerdefineret politik i Intune indebærer at gå tilbage til Enheder, Indstillinger, oprette en ny politik, vælge platformen og vælge "Brugerdefineret" som type. konfigurationsindstillinger Tilføj en ny OMA-URI-post, der angiver:

  • Navn og konfigurationsbeskrivelse.
  • El OMA-URI egnet, for eksempel:
    • På Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Indstillinger
    • På Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Datatypen "Streng".
  • I «Værdi», den komplette XML for WiFi-profilen.

Det er vigtigt, at værdien af ​​{SSID} i OMA-URI'en matcher beskrivende netværksnavn i XML-profilenHvis navnet indeholder mellemrum, skal de kodes som %20 i OMA-URI'en. Derudover skal feltet i XML'en Den skal forblive falsk, så nøglen sendes i klartekst (krypteret af administrationskanalen, men ikke tilsløret i XML-filen). Hvis den er angivet til sand, kan enheden forvente en krypteret adgangskode og mislykkes med at oprette forbindelse.

Et generisk eksempel på en WiFi-profil med PSK ville omfatte en blokering med navnet, SSID'et i hex og tekst, ESS , bil , en blok med godkendelsestypen (f.eks. WPA2PSK) og kryptering (AES) og en blok med passPhrase , falsk og adgangskode , hvor "password" er nøglen i klartekst.

For EAP-baserede netværk er XML meget mere kompleks, fordi den indeholder konfigurationer af EapHostConfig, certifikater, servervalidering, CA-hashlister, EKU osv.Parametre som EAP-typen (f.eks. 13 for EAP-TLS), legitimationsoplysningernes kilde (certifikatlager), om servervalidering er tilladt eller ej, og mulige certifikatfiltre ved hjælp af klientgodkendelses-EKU'er defineres.

Når den brugerdefinerede politik er oprettet, tildeles den de samme grupper, som du ville bruge med en standard Wi-Fi-profil. Ved registrering eller synkronisering modtager enheden XML-filen, importerer den som en trådløs profil og er klar til automatisk at oprette forbindelse til det pågældende netværk.

Opret XML-filen fra en eksisterende WiFi-forbindelse

I mange tilfælde er det mere praktisk at lade Windows generere XML'en fra en eksisterende, fungerende forbindelse. For at gøre dette på en Windows-computer kan du følge disse grundlæggende trin: eksporter WiFi-profilen:

  1. Opret en lokal mappe, for eksempel c:\WiFi.
  2. Åbn en kommandoprompt som administrator.
  3. Ejecutar netsh wlan show profiler for at se navnene på eksisterende profiler.
  4. Eksporter den ønskede profil med
    netsh wlan eksportprofil navn=»Profilnavn» mappe=c:\WiFi.

Hvis profilen indeholder en foruddelt nøgle, og du ønsker, at XML-filen skal indeholde adgangskoden i almindelig tekst (nødvendigt for, at Intune kan bruge den korrekt), tilføjes parameteren. nøgle = klar til eksportkommandoen. Den genererede XML-fil (med et navn, der ligner Wi-Fi-ProfileName.xml) kan åbnes med en teksteditor, gennemgås og kopieres direkte til OMA-URI-konfigurationsværdien i Intune.

Visse detaljer skal overvåges, såsom elementet Den eksporterede profil indeholder ikke mellemrum, der kan forårsage allokeringsfejl ved brug af Intune, eller som værdien matcher det angivne SSID. Derudover skal specialtegn i XML (såsom og-tegnet &) være korrekt escapet for at undgå behandlingsfejl.

Bedste fremgangsmåder ved brug af PSK og roterende taster

Når man administrerer WiFi-netværk med PSK i et virksomhedsmiljø, er det vigtigt at planlægge password rotationPludselig ændring af adgangskoden uden varsel kan afbryde forbindelsen til mange enheder, der er afhængige af det pågældende netværk for at kommunikere med Intune og modtage de nye indstillinger.

Det er tilrådeligt først at kontrollere, at enhederne kan oprette direkte forbindelse til adgangspunktet Med den planlagte konfiguration skal du designe nøgleændringen, så der er en alternativ internetforbindelse: et gæstenetværk, et midlertidigt parallelt Wi-Fi-netværk eller mobildata. På denne måde kan enheder bruge den sekundære forbindelse til at modtage den nye profil, selvom virksomhedens Wi-Fi ændrer sin PSK.

Det er også tilrådeligt at planlægge implementeringen af ​​nye profiler i uden for myldretiden og underrette brugerne om, at forbindelsen kan være påvirket i en periode. Dette reducerer påvirkningen på produktiviteten og letter overvågningen af ​​fejl eller uregelmæssigheder under processen.

Netværksforbindelsesprofiler og firewallregler

Nogle sikkerhedsløsninger, såsom endpoint Protection Suites (hexlock), tillader definition brugerdefinerede netværksforbindelsesprofiler Disse profiler anvendes på specifikke forbindelser baseret på udløsere eller betingelser. De tilføjer et ekstra lag til Windows-konfigurationen ved at justere firewallen, enhedens synlighed og andre beskyttelser i henhold til netværket.

I den avancerede konfigurationskonsol er der normalt en sektion "Netværksforbindelsesprofiler" med foruddefinerede profiler som f.eks. privat y Public Disse profiler kan ikke ændres eller slettes. Den private profil er beregnet til netværk, der er tillid til (hjemme eller på kontoret), hvor adgang til delte filer, printere, indgående RPC-kommunikation og fjernskrivebord er tilladt. Den offentlige profil blokerer derimod deling af filer og ressourcer og er beregnet til netværk, der ikke er tillid til.

Ud over disse profiler kan du oprette tilpassede profiler og juster parametre som navn, beskrivelse, yderligere betroede adresser, om forbindelsen betragtes som betroet (tilføjelse af hele undernet til det sikre område) og aktiver funktioner som "Rapport om svag WiFi-kryptering", der advarer dig, når du opretter forbindelse til åbne eller dårligt beskyttede netværk.

Hver profil kan have aktivatorerDet vil sige betingelser, der skal være opfyldt for at en profil kan anvendes på en forbindelse: gateway-IP-adresse, Wi-Fi SSID, netværkstype osv. Profiler evalueres i henhold til en prioriteret rækkefølge, og den første, der opfylder betingelserne, anvendes. Dette giver f.eks. mulighed for at have en specifik profil til virksomhedens Wi-Fi, en generisk til hjemmenetværk og en meget restriktiv profil til ethvert ukendt offentligt netværk.

Profil- og lokationsstyring i avancerede miljøer

I mere avancerede systemer eller i virksomhedsnetværk med Solaris eller andre platforme kombineres konceptet netværksprofil med Netværkskonfigurationsenheder (NCU'er), prioritetsgrupper og placeringerVia en grafisk brugerflade i Netværksindstillinger eller kommandoer som ipadm, dladm, netcfg og netadm kan du oprette reaktive og faste profiler, gruppere brugerflader og definere aktiveringsregler.

Netværksprofilvisningen i den grafiske brugergrænseflade viser en liste over tilgængelige profilermed indikatorer, der viser, hvilken der er aktiv. Systemdefinerede profiler, såsom "Automatisk" og "Standardfast", kan ikke redigeres eller slettes, men du kan oprette flere brugerdefinerede reaktive profiler. Hver profil indeholder et sæt forbindelser (NCU'er), der aktiveres eller deaktiveres, når profilen træder i kraft.

For at organisere grænseflader bruges følgende: prioriterede grupper med tre hovedtyper:

  • Eksklusiv: Kun én forbindelse i gruppen kan være aktiv, og mens én er aktiv, berøres grupper med lavere prioritet ikke.
  • Delt: Alle mulige forbindelser i gruppen aktiveres, og så længe mindst én er aktiv, bruges lavere grupper ikke.
  • Alle: alle skal være aktive; hvis én fejler, deaktiveres alle, uden at man forsøger at bruge grupper med lavere prioritet.

Profilen "Automatisk" har for eksempel normalt følgende i sin højeste prioritetsgruppe: kablede grænsefladerTrådløse forbindelser er i en gruppe med lavere prioritet. Derfor prioriteres Ethernet altid, hvis et kabel er tilgængeligt, og Wi-Fi undgås, medmindre det er absolut nødvendigt.

Som netværksplaceringerDisse indstillinger grupperer konfigurationer for navnetjenester (DNS, LDAP osv.) og sikkerhed (konfigurationsfiler til IP- og IPsec-firewalls). Systemplaceringer (Automatisk, NoNet, DefaultFixed), manuelle placeringer eller betingede placeringer kan defineres. Manuelle placeringer aktiveres manuelt via dialogboksen Placeringer, mens betingede placeringer aktiveres baseret på regler (f.eks. netværkstype, opnået IP-adresse osv.).

Fra brugergrænsefladen kan du ændre aktiveringstilstanden for en placering, indstille den til "kun manuel" eller "udløst af regler" og redigere disse regler for at definere præcist I hvilke situationer anvendes hvert sæt af politikker?Aktivering af en ny placering deaktiverer altid den forrige, hvilket sikrer, at kun én er aktiv ad gangen.

IPsec-profiler på routere for sikre forbindelser

Hele dette profileringssystem er ikke begrænset til slutbrugerenheder. Det gælder også for professionelle routere, såsom serien. Cisco RV160 og RV260IPsec-profiler bruges til at definere, hvordan trafik mellem websteder beskyttes ved hjælp af VPN.

Un IPsec-profil Den grupperer de algoritmer og parametre, der bruges i nøgleforhandling (fase I og IKE) og datakryptering (fase II). Dette omfatter aspekter som krypteringsalgoritmen (3DES, AES-128, AES-192, AES-256), godkendelsesmetoden (MD5, SHA1, SHA2-256), Diffie-Hellman-gruppen (f.eks. Gruppe 2 på 1024 bit eller Gruppe 5 på 1536 bit), varigheden af ​​sikkerhedstilknytninger (SA'er), og om der anvendes automatisk nøgletilstand (IKEv1 eller IKEv2) eller manuel nøgletilstand.

La fase I Den etablerer en sikker, autentificeret kommunikation mellem de to VPN-slutpunkter, forhandler nøgler og autentificerer peers. I denne fase vælges IKEv1 eller IKEv2 sammen med DH-gruppen, krypteringsalgoritmen og autentificerings-hashen, samt SA-levetiden (for eksempel 28800 sekunder). IKEv2 foretrækkes normalt, fordi den er mere effektiv, kræver mindre pakkeudveksling og understøtter flere autentificeringsmuligheder.

La fase II Den håndterer kryptering af selve trafikken. Du definerer, om du vil bruge ESP (til kryptering og eventuelt godkendelse) eller AH (kun godkendelse, uden fortrolighed), vælger krypterings- og hashingalgoritmerne igen, kontrollerer, om Perfect Forward Secrecy (PFS) ønskes, og justerer IPsec SA-levetiden (for eksempel 3600 sekunder). Anbefalingen er normalt, at levetiden for Fase I er større end fase IIsåledes at datanøgler fornyes oftere end kanalnøgler.

I konfigurationen af ​​en RV160/RV260 skal du gå til VPN-menuen > IPSec VPN > IPSec-profiler, tilføje en ny profil, navngive den (f.eks. "HomeOffice"), vælge nøgleoprettelsestilstanden (Automatisk), IKE-versionen (ideelt set IKEv2, hvis begge ender understøtter det), parametrene Fase I og Fase II, aktivere PFS, hvis det er muligt, og vælge DH-gruppen igen for Fase II. Til sidst skal du anvende og gemme konfigurationen, så den bevares på tværs af genstarter, ved at kopiere konfiguration kører ved opstart.

Det er afgørende, at begge ender af en site-to-site tunnel har de samme profilparametre (samme algoritmer, levetider, IKE-version, PSK eller certifikater osv.). Ellers vil forhandlingen mislykkes, og tunnelen vil ikke blive etableret.

Samlet set giver denne kombination af WiFi-profiler, netværksprofiler, placeringer, Intune-konfiguration og IPsec-profiler på routere dig mulighed for at opbygge miljøer, hvor din computer, bærbare computer eller mobile enhed næsten automatisk tilpasser sig det netværk, den er på. Vælg den rigtige brugerflade, anvend den korrekte sikkerhed, opret forbindelse til WiFi uden brugerindgriben, aktiver VPN'en efter behov, og juster firewallen til konteksten.Det er i sidste ende den mest praktiske og sikre måde at oprette automatiske profiler baseret på det WiFi-netværk, du bruger. Del disse oplysninger, så flere brugere kender til emnet..