Hur man skapar automatiska profiler baserat på det WiFi-nätverk man använder

  • Med nätverksprofiler kan du automatisera IP, DNS, brandvägg, VPN och delade resurser baserat på WiFi-nätverket eller platsen.
  • Verktyg som Easy Net Switch, NetSetMan eller TCP/IP Manager utökar Windows inbyggda funktioner för att växla miljöer med ett enda klick.
  • I företagsmiljöer distribuerar Intune centralt WiFi-profiler (inklusive PSK och EAP i XML) till flera plattformar.
  • Ytterligare säkerhetsprofiler, som anslutningsprofiler och IPsec-profiler på routrar, kompletterar skyddet och automatiseringen över olika webbplatser.
Joaquin Romero

19 minuter

Så här skapar du automatiska profiler för ditt Wi-Fi-nätverk

Om du ständigt växlar mellan ditt hem-Wi-Fi, kontorsnätverket, universitetsnätverket eller din mobila hotspot är det ett riktigt besvär att ändra nätverksinställningar manuellt. Som tur är erbjuder Windows och andra operativsystem sätt att skapa automatiska profiler baserat på det WiFi-nätverk du ansluter till, kontrollera vilket gränssnitt som aktiveras vid varje given tidpunkt och tillämpa säkerhetspolicyer eller brandväggar anpassade till varje miljö.

I den här artikeln får du se, i detalj, hur de fungerar nätverksprofilerVad de tillåter dig att göra i Windows, hur du integrerar dem med verktyg som Intune eller säkerhetslösningar, vilka tredjepartsprogram du har för att gå vidare, och hur allt detta passar ihop med koncept som platser, gränssnittsprioritetsgrupper eller IPsec-profiler i företagsroutrar.

Vad är en nätverksprofil och varför skulle du vara intresserad av att använda den?

En nätverksprofil är i grunden en uppsättning fördefinierade parametrar som tillämpas på en anslutning (eller flera) beroende på vissa villkor: det WiFi-nätverk du ansluter till, det aktiva gränssnittet, platsen etc. Dessa parametrar kan variera från IP och DNS till brandväggsregler, VPN-användning, skrivare, delade resurser eller till och med anpassade skript.

I Windows klassificerar systemet redan nätverk som offentlig eller privatNär du ansluter till ett Wi-Fi- eller LAN-nätverk för första gången frågar systemet om det är ett betrott nätverk. Om du svarar ja anses det vara privat; om nej, offentligt. Baserat på detta beslut justerar det brandväggen och din enhets synlighet i nätverket, vilket minskar säkerheten i hemnätverk eller små kontor och stärker den i nätverk på hotell, flygplatser eller kaféer.

i en privat nätverkWindows förutsätter att du kontrollerar vem som ansluter och att enheterna är kända. Detta gör att du till exempel kan upptäcka andra datorer i nätverket, komma åt delade mappar, skicka utskrifter till nätverksskrivare eller använda funktioner som Hemgrupp eller streaming till en Smart TV. Systemet minskar begränsningarna eftersom det förstår att miljön är relativt säker.

i en Publikt nätverkWindows antar att nätverket inte är betrott. Därför inaktiverar det enhetsidentifiering, fil- och skrivardelning och andra tjänster som kan utsätta dig för attacker från andra anslutna enheter. sårbarheter som de i WhatsAppDu kan fortfarande surfa på internet, men din enhet är isolerad från resten, vilket är avgörande när du ansluter till WiFi i ett köpcentrum, en flygplats eller ett öppet nätverk.

Problemet uppstår när samma bärbara dator flyttas runt flera nätverk med mycket olika kravEn kan kräva en statisk IP-adress, en annan använder DHCP; en kan kräva att du går via en företagsproxy, en annan aktiverar ett VPN, och ytterligare en kanske inte. Att ändra detta manuellt varje gång är mödosamt och felbenäget. Det är där avancerade nätverksprofiler kommer in i bilden, både i Windows och via specialiserade program.

Automatisera inställningar vid byte av WiFi-nätverk i Windows

Windows låter dig definiera olika parametrar per nätverksprofil (offentlig eller privat) och per specifik anslutning, men den integrerade hanteringen är otillräcklig om du vill. Ändra IP, DNS, proxy, VPN och brandvägg på en gång varje gång du upptäcker ett annat SSID. För detta är den vanliga metoden att kombinera det som systemet erbjuder med externa verktyg som hanterar avancerade profiler.

I det grafiska nätverkshanteringsgränssnittet i vissa miljöer (till exempel distributioner som använder koncept som liknar Solaris NCP:er) görs en åtskillnad reaktiva och fasta nätverksprofilerDen reaktiva profilen "Automatisk" försöker först upprätta en trådbunden anslutning och, om det misslyckas, övergår till en trådlös anslutning. Den fasta profilen "StandardFast" definierar en statisk uppsättning gränssnitt som förblir oförändrade tills de ändras med kommandoradsverktyg.

Dessa profiler styr vilka gränssnitt som kan vara aktivera eller avaktivera när som helstPå en typisk bärbar dator med Ethernet och Wi-Fi kanske du bara vill använda Ethernet när en kabel är tillgänglig och stänga av Wi-Fi för säkerhets skull, eller vice versa. Det grafiska gränssnittet för nätverksinställningar erbjuder vanligtvis vyer för anslutningsstatus, nätverksprofil och anslutningsegenskaper, där du kan se aktuell status, vilken profil som är aktiv och specifika egenskaper (IP-adress, IPv4/IPv6, favorittrådlösa nätverk etc.).

Dessutom kan du definiera platser Dessa inställningar grupperar konfigurationer som namntjänster, brandvägg och IPsec, och aktiveras manuellt eller villkorligt enligt regler (till exempel en "Kontor"-plats om du hämtar en IP-adress från ett visst intervall, och en "Hem"-plats med olika policyer). Endast en plats kan vara aktiv åt gången, och den kan ändras från nätverksstatusikonen eller med kommandon som netadm på Solaris-liknande system.

Program för att skapa automatiska profiler per WiFi-nätverk

För att gå utöver vad Windows erbjuder som standard finns det specifika verktyg som gör det möjligt skapa och tillämpa kompletta nätverksprofiler Det beror på vilket nätverk (SSID) du ansluter till eller det aktiva nätverkskortet. Många av dem stöder Windows XP till och med Windows 11.

Enkel nätväxling

Enkel nätväxling Det är ett betalprogram för Windows som utmärker sig genom det enorma antalet nätverksinställningar det kan hantera. Även om dess gränssnitt påminner om Windows XP-eran är det fortfarande kompatibelt med Windows XP, 7, 8, 10 och 11, och inkluderar både GUI och kommandoradsläge för avancerade användare.

Med Easy Net Switch kan du definiera profiler som styr praktiskt taget allt: IP-adress, subnätmask, gateway, DNS, WINS, NetBIOS, MAC-förfalskning, WiFi, VPN, proxy, brandvägg, standardskrivare, nätverksenheter, statiska rutteroch till och med köra skript eller ändra hosts-filen. Varje parameter är valfri; du kan begränsa dig till IP- och DNS-adressen eller ställa in en mycket komplex profil för en företagsmiljö.

Att skapa en profil görs vanligtvis genom att klicka på knappen "Ny" med hjälp av en grundläggande guide som du sedan kan anpassa. I avsnittet "Nätverk" väljer du om IP-adressen och DNS-adressen hämtas via DHCP eller är statiska, och i "Avancerat" kan du ändra WINS, NetBIOS, ändra MAC-adressen, rensa DNS-cachen och mycket mer. När du använder en profil visar programmet en Sammanfattning av ändringar och om det har förekommit några felvilket gör det lättare att diagnostisera om något inte fungerar.

I WiFi-sektionen kan du i Easy Net Switch definiera trådlösa profiler länkade till specifika SSID:erDu kan söka efter tillgängliga nätverk eller ange namnet manuellt och justera autentiseringen: från fördelade nycklar (PSK) till stark autentisering med RADIUS och olika EAP-protokoll. Detta gör att till exempel profilen med rätt nyckel, lämplig EAP-autentisering och, om nödvändigt, VPN automatiskt förbereds varje gång du ser företagets SSID.

Programmet hanterar även inställningar för företagsombud (inklusive autentisering), uppringning, VPN, och erbjuder till och med integrerade verktyg som ping och traceroute, samt en skrivbordswidget för att alltid visa den aktuella IP-adressen. Dess alternativ inkluderar att starta med Windows, minimera till systemfältet, inaktivera automatisk Wi-Fi-nätverksidentifiering och lösenordsskydda programåtkomst för att förhindra obehöriga ändringar.

TCP/IP-hanterare

TCP/IP-hanterare Det är ett gratis och öppen källkodsprojekt som, även om det inte har uppdaterats på flera år, fortfarande fungerar bra på senare versioner av Windows. Det fokuserar på att skapa obegränsade nätverksprofiler som snabbt ändrar IP-konfiguration, subnätmask, gateway, DNS, proxy, arbetsgruppsnamn och MAC-adress.

En av dess fördelar är att den tillåter importera aktuell konfiguration Systemet låter dig skapa en profil från dina befintliga inställningar utan att behöva ange allt manuellt. Det erbjuder också möjligheten att associera batchfiler med varje profil, så att aktivering automatiskt utför ytterligare kommandon (till exempel att montera nätverksenheter eller starta ett VPN).

Växling mellan profiler kan göras från själva gränssnittet eller via snabbtangenterPerfekt för användare som behöver snabbt växla mellan miljöer (företagsnätverk, labb, klient, etc.). Dessutom uppdateras programmet automatiskt via webben när nya versioner finns tillgängliga, vilket eliminerar behovet av manuella nedladdningar.

IP Shifter

IP Shifter Det är ett lätt och gratis alternativ utformat för de som behöver något enklare. Det stöder Windows XP och senare versioner, inklusive Windows 10 och Windows 11och fungerar med olika adaptrar, både Ethernet och WiFi.

Dess huvudsakliga funktion är att låta dig ändra utan att starta om IP-konfiguration, subnätmask, gateway och DNS av adaptrarna. Den hanterar även proxykonfigurationer för webbläsare som Microsoft Edge eller Firefox, integrerar ett snabbt ping-kommando och kan upptäcka enheterna som finns på nätverket, samt visa den publika IP-adress som internet ser.

Den har inte samma djup som Easy Net Switch eller NetSetMan, men för växla mellan två eller tre grundläggande miljöer (till exempel en statisk IP-adress i ett industriellt nätverk och DHCP hemma) är vanligtvis tillräckligt.

NetSetMan

NetSetMan Det är förmodligen det kraftfullaste gratisalternativet till Easy Net Switch. Det har en gratisversion med upp till åtta profiler och en betald Pro-version med Obegränsade profiler och fler affärsinriktade alternativDeras filosofi är att du med ett enda klick kan aktivera en komplett uppsättning nätverksinställningar.

Bland de konfigurationer den tillåter finns de klassiska (IP, mask, gateway, DNS), arbetsgrupp, standardskrivare, nätverksenheter, routingtabell, SMTP-server, datornamn, MAC-adress, nätverkskortstatus, gränssnittshastighet, MTU, VLAN och mycket mer. Du kan också definiera VPN-serverparametrar, starta batch-, VBScript- eller JavaScript-skript när du byter profil, köra andra program och till och med hantera WiFi-inställningar i detalj.

Pro-versionen lägger till funktioner som avancerade proxykonfigurationer och nätverksdomänerDessa är mycket användbara för att integrera med företagsdomänmiljöer och centraliserade proxyservrar. Gratisversionen kan dock inte användas på Windows Server och begränsar antalet profiler till åtta, något att tänka på om du hanterar många platser.

WiFi-profiler som hanteras med Microsoft Intune

I företagsmiljöer där du hanterar hundratals eller tusentals enheter kan du inte lita på att varje användare konfigurerar sitt Wi-Fi-nätverk korrekt. Det är här Microsoft Intune kommer in i bilden, vilket gör att du kan Skapa WiFi-profiler och distribuera dem till Windows-, Android-, iOS- och macOS-enheter. och andra, på ett centraliserat sätt.

Un Intune WiFi-profil Det är en uppsättning anslutningsparametrar (SSID, säkerhetstyp, autentiseringsmetod, lösenord, certifikat etc.) som tilldelats grupper av användare eller enheter. När en enhet tar emot profilen visas nätverket i listan över kända nätverk, och om det är inom räckhåll kan enheten ansluta automatiskt utan att användaren behöver ändra några inställningar.

För att skapa en standard WiFi-profil i Intune följer du en liknande process som andra policyer: du kommer åt Microsoft Intune administrationscenterGå till Enheter, Inställningar, skapa en ny policy, välj plattform (Android, iOS, macOS, Windows 10/11, etc.) och välj "Wi-Fi" eller motsvarande mall som profiltyp. Definiera sedan profilnamnet, en beskrivning och konfigurera de plattformsspecifika alternativen: SSID, autentiseringstyp (WPA2, WPA3, EAP-TLS, etc.), certifikatanvändning, avancerade parametrar och tilldela slutligen profilen till lämpliga grupper.

Allokeringen kan filtreras med etiketter för omfångDessa är användbara för att separera ansvarsområden mellan olika IT-team (till exempel ett lokalt supportteam som endast hanterar ett land). När profilen har distribuerats visas den i Intune-profillistan och tillämpas automatiskt när enheter synkroniseras.

WiFi-profiler med PSK- och XML-konfiguration med Intune

Steg för att skapa automatiska profiler i ditt Wi-Fi-nätverk

Förutom vanliga WiFi-profiler låter Intune dig definiera WiFi-profiler baserade på fördelad nyckel (PSK) och EAP med hjälp av anpassade direktiv och WiFi CSP. Detta görs genom XML-filer som beskriver den trådlösa profilen och skickas till enheter via OMA-URI.

Fördelade nycklar används ofta för autentisera användare på WiFi-nätverk i hemmet eller små trådlösa LANMed Intune kan du skapa en anpassad enhetskonfigurationspolicy som innehåller Wi-Fi-profilen i XML-format och en OMA-URI-konfiguration som levererar den till operativsystemet. Det här alternativet är tillgängligt för Android (inklusive Enterprise- och Work-profillägen), Windows och EAP-baserade nätverk.

För att det ska fungera behöver du förbereda en XML-fil som beskriver profilen, inklusive Profilnamn, SSID (i text och hexadecimalt), autentiseringstyp, krypteringstyp, nyckel, anslutningsläge, om nätverket är doltetc. Du kan alternativt extrahera denna XML från en Windows-dator som redan har nätverket konfigurerat med netsh-kommandon.

Att skapa en anpassad policy i Intune innebär att gå tillbaka till Enheter, Inställningar, skapa en ny policy, välja plattform och välja "Anpassad" som typ. konfigurationsalternativ Lägg till en ny OMA-URI-post som anger:

  • Namn och konfigurationsbeskrivning.
  • El OMA-URI lämplig, till exempel:
    • På Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Inställningar
    • På Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Datatypen "Sträng".
  • I «Värde», den kompletta XML-filen för WiFi-profilen.

Det är viktigt att värdet för {SSID} i OMA-URI:n matchar beskrivande nätverksnamn i XML-profilenOm namnet innehåller mellanslag måste de kodas som %20 i OMA-URI:n. Dessutom, i XML-filen, fältet Den måste förbli falsk så att nyckeln skickas i klartext (krypterad av hanteringskanalen, men inte obfuskerad i XML-filen). Om den är satt till sant kan enheten förvänta sig ett krypterat lösenord och misslyckas med att ansluta.

Ett generiskt exempel på en WiFi-profil med PSK skulle inkludera ett block med namnet, SSID i hexadecimaler och text, ESS , bil , ett block med autentiseringstypen (t.ex. WPA2PSK) och kryptering (AES), och ett block med passPhrase , falsk och lösenord , där "lösenord" är nyckeln i klartext.

För EAP-baserade nätverk är XML mycket mer komplex eftersom den innehåller konfigurationer av EapHostConfig, certifikat, servervalidering, CA-hashlistor, EKU, etc.Parametrar som EAP-typ (t.ex. 13 för EAP-TLS), autentiseringskälla (certifikatarkiv), huruvida servervalidering är tillåten eller inte och möjliga certifikatfilter med klientautentiserings-EKU:er definieras.

När den anpassade policyn har skapats tilldelas den samma grupper som du skulle använda med en vanlig Wi-Fi-profil. Vid registrering eller synkronisering tar enheten emot XML-filen, importerar den som en trådlös profil och är redo att automatiskt ansluta till det nätverket.

Skapa XML-filen från en befintlig WiFi-anslutning

I många fall är det mer praktiskt att låta Windows generera XML-filen från en befintlig, fungerande anslutning. För att göra detta på en Windows-dator kan du följa dessa grundläggande steg: exportera WiFi-profilen:

  1. Skapa en lokal mapp, till exempel c:\WiFi.
  2. Öppna en kommandotolk som administratör.
  3. Ejecutar netsh wlan show profiler för att se namnen på befintliga profiler.
  4. Exportera önskad profil med
    netsh wlan export profile name=»Profilnamn» folder=c:\WiFi.

Om profilen innehåller en i förväg delad nyckel och du vill att XML-filen ska innehålla lösenordet i klartext (nödvändigt för att Intune ska kunna använda det korrekt) läggs parametern till. nyckel = rensa till exportkommandot. Den genererade XML-filen (med ett namn som liknar Wi-Fi-ProfileName.xml) kan öppnas med en textredigerare, granskas och kopieras direkt till OMA-URI-konfigurationsvärdet i Intune.

Vissa detaljer måste övervakas, såsom elementet Den exporterade profilen innehåller inte mellanslag som kan orsaka allokeringsfel vid användning av Intune, eller som värdet matcha det angivna SSID:t. Dessutom måste specialtecken i XML (som et-tecknet &) vara korrekt escapeade för att undvika bearbetningsfel.

Bästa praxis vid användning av PSK och roterande tangenter

När man hanterar WiFi-nätverk med PSK i en företagsmiljö är det viktigt att planera lösenordsrotationAtt ändra lösenordet plötsligt utan förvarning kan koppla bort många enheter som är beroende av nätverket för att kommunicera med Intune och ta emot de nya inställningarna.

Det är lämpligt att först kontrollera att enheterna kan anslut direkt till åtkomstpunkten Med den planerade konfigurationen, utforma nyckeländringen så att det finns en alternativ internetanslutning: ett gästnätverk, ett tillfälligt parallellt Wi-Fi-nätverk eller mobildata. På så sätt kan enheter använda den sekundära anslutningen för att ta emot den nya profilen även om företagets Wi-Fi ändrar sin PSK.

Det är också lämpligt att schemalägga distributionen av nya profiler i lågtrafik och meddela användarna att anslutningen kan påverkas under en viss tid. Detta minskar produktivitetspåverkan och underlättar övervakning av fel eller avvikelser under processens gång.

Nätverksanslutningsprofiler och brandväggsregler

Vissa säkerhetslösningar, till exempel skyddspaket för slutpunkter (hexlock), tillåter definition anpassade nätverksanslutningsprofiler Dessa profiler tillämpas på specifika anslutningar baserat på utlösare eller villkor. De lägger till ett extra lager i Windows-konfigurationen och justerar brandväggen, enhetens synlighet och andra skydd enligt nätverket.

I den avancerade konfigurationskonsolen finns det vanligtvis ett avsnitt "Nätverksanslutningsprofiler" med fördefinierade profiler som t.ex. privat y Offentliga Dessa profiler kan inte ändras eller tas bort. Den privata profilen är avsedd för betrodda nätverk (hemma eller kontor), där åtkomst till delade filer, skrivare, inkommande RPC-kommunikation och fjärrskrivbord är tillåten. Den offentliga profilen, å andra sidan, blockerar fil- och resursdelning och är avsedd för nätverk som inte är betrodda.

Utöver dessa profiler kan du skapa anpassade profiler och justera parametrar som namn, beskrivning, ytterligare betrodda adresser, om anslutningen anses vara betrodd (lägger till hela delnät i det säkra området) och aktivera funktioner som "Rapport om svag WiFi-kryptering", som varnar dig när du ansluter till öppna eller dåligt skyddade nätverk.

Varje profil kan ha aktivatorerDet vill säga villkor som måste vara uppfyllda för att en profil ska kunna tillämpas på en anslutning: gatewayens IP-adress, Wi-Fi-SSID, nätverkstyp etc. Profiler utvärderas enligt en prioritetsordning, och den första som uppfyller villkoren tillämpas. Detta möjliggör till exempel en specifik profil för företagets Wi-Fi, en generisk för hemmanätverk och en mycket restriktiv för okända offentliga nätverk.

Profil- och platshantering i avancerade miljöer

I mer avancerade system eller i företagsnätverk med Solaris eller andra plattformar kombineras konceptet nätverksprofil med Nätverkskonfigurationsenheter (NCU), prioritetsgrupper och platserGenom ett grafiskt gränssnitt för Nätverksinställningar eller kommandon som ipadm, dladm, netcfg och netadm kan du skapa reaktiva och fasta profiler, gruppera gränssnitt och definiera aktiveringsregler.

Nätverksprofilvyn i det grafiska gränssnittet visar en lista över tillgängliga profilermed indikatorer som visar vilken som är aktiv. Systemdefinierade profiler, som "Automatisk" och "StandardFast", kan inte redigeras eller tas bort, men du kan skapa flera anpassade reaktiva profiler. Varje profil innehåller en uppsättning anslutningar (NCU:er) som aktiveras eller inaktiveras när profilen träder i kraft.

För att organisera gränssnitt används följande: prioriterade grupper med tre huvudtyper:

  • Exklusiv: endast en anslutning i gruppen kan vara aktiv, och medan en är aktiv berörs inte grupper med lägre prioritet.
  • Delad: alla möjliga anslutningar i gruppen aktiveras, och så länge minst en är aktiv används inte lägre grupper.
  • Alla: alla måste vara aktiva; om en misslyckas inaktiveras alla, utan att försöka med grupper med lägre prioritet.

Profilen "Automatisk" har till exempel vanligtvis följande i sin högsta prioritetsgrupp: trådbundna gränssnittTrådlösa anslutningar har en lägre prioritetsgrupp. Därför prioriteras Ethernet alltid om en kabel finns tillgänglig, och Wi-Fi undviks om det inte är absolut nödvändigt.

Eftersom nätverksplatserDessa inställningar grupperar konfigurationer för namntjänster (DNS, LDAP, etc.) och säkerhet (konfigurationsfiler för IP- och IPsec-brandväggar). Systemplatser (Automatisk, NoNet, DefaultFixed), manuella platser eller villkorliga platser kan definieras. Manuella platser aktiveras manuellt via dialogrutan Platser, medan villkorliga platser aktiveras baserat på regler (t.ex. nätverkstyp, erhållen IP-adress, etc.).

Från det grafiska gränssnittet kan du ändra aktiveringsläget för en plats, ställa in det på "endast manuellt" eller "utlöst av regler", och redigera dessa regler för att definiera exakt I vilka situationer används varje uppsättning policyer?Att aktivera en ny plats inaktiverar alltid den föregående, vilket säkerställer att endast en är aktiv åt gången.

IPsec-profiler på routrar för säkra anslutningar

Hela detta profileringssystem är inte begränsat till slutanvändarenheter. Det gäller även professionella routrar, som serien. Cisco RV160 och RV260IPsec-profiler används som definierar hur trafik mellan webbplatser skyddas med hjälp av VPN.

Un IPsec-profil Den grupperar de algoritmer och parametrar som används vid nyckelförhandling (fas I och IKE) och datakryptering (fas II). Detta inkluderar aspekter som krypteringsalgoritmen (3DES, AES-128, AES-192, AES-256), autentiseringsmetoden (MD5, SHA1, SHA2-256), Diffie-Hellman-gruppen (t.ex. Grupp 2 på 1024 bitar eller Grupp 5 på 1536 bitar), säkerhetsassociationers (SA:ers) varaktighet och om automatiskt nyckelläge (IKEv1 eller IKEv2) eller manuellt nyckelläge används.

La fas I Den etablerar en säker, autentiserad kommunikation mellan de två VPN-slutpunkterna, förhandlar om nycklar och autentiserar peers. I den här fasen väljs IKEv1 eller IKEv2, tillsammans med DH-gruppen, krypteringsalgoritmen och autentiseringshashen, samt SA-livslängden (till exempel 28800 sekunder). IKEv2 föredras vanligtvis eftersom det är mer effektivt, kräver mindre paketutbyte och stöder fler autentiseringsalternativ.

La fas II Den hanterar kryptering av själva trafiken. Du definierar om du vill använda ESP (för kryptering och, valfritt, autentisering) eller AH (endast autentisering, utan konfidentialitet), väljer krypterings- och hashalgoritmerna igen, kontrollerar om Perfect Forward Secrecy (PFS) önskas och justerar IPsec SA-livslängden (till exempel 3600 sekunder). Rekommendationen är vanligtvis att livslängden för fas I ska vara större än den i fas IIså att datanycklar förnyas oftare än kanalnycklar.

I konfigurationen av en RV160/RV260, gå till VPN-menyn > IPSec VPN > IPSec-profiler, lägg till en ny profil, namnge den (till exempel "HomeOffice"), välj nyckelskapningsläge (Automatiskt), IKE-versionen (helst IKEv2 om båda ändar stöder det), parametrarna Fas I och Fas II, aktivera PFS om möjligt och välj DH-gruppen igen för Fas II. Slutligen, tillämpa och spara konfigurationen så att den finns kvar även efter omstarter genom att kopiera konfigurationen körs vid start.

Det är avgörande att båda ändarna av en tunnel från plats till plats har samma profilparametrar (samma algoritmer, livslängder, IKE-version, PSK eller certifikat, etc.). Annars kommer förhandlingen att misslyckas och tunneln kommer inte att upprättas.

Sammantaget gör den här kombinationen av WiFi-profiler, nätverksprofiler, platser, Intune-konfiguration och IPsec-profiler på routrar att du kan bygga miljöer där din dator, bärbara dator eller mobila enhet nästan automatiskt anpassar sig till det nätverk den är ansluten till. Välj rätt gränssnitt, använd rätt säkerhet, anslut till WiFi utan användarintervention, aktivera VPN vid behov och justera brandväggen efter sammanhanget.Det är i slutändan det mest praktiska och säkra sättet att skapa automatiska profiler baserade på det WiFi-nätverk du använder. Dela denna information så att fler användare känner till ämnet..