Se passi continuamente dal Wi-Fi di casa alla rete dell'ufficio, a quella dell'università o al tuo hotspot mobile, modificare manualmente le impostazioni di rete può rivelarsi una vera seccatura. Fortunatamente, Windows e altri sistemi operativi offrono soluzioni per... crea profili automatici in base alla rete WiFi a cui ti connetti, controllare quale interfaccia viene attivata in un dato momento e applicare policy di sicurezza o firewall adatti a ciascun ambiente.
In questo articolo vedrai, in grande dettaglio, come funzionano profili di reteCosa consentono di fare in Windows, come integrarli con strumenti come Intune o con soluzioni di sicurezza, quali programmi di terze parti sono necessari per andare oltre e come tutto questo si adatta a concetti quali posizioni, gruppi di priorità dell'interfaccia o profili IPsec nei router aziendali.
Che cos'è un profilo di rete e perché saresti interessato a utilizzarlo?
Un profilo di rete è fondamentalmente un insieme di parametri predefiniti che vengono applicati a una connessione (o più) a seconda di determinate condizioni: la rete WiFi a cui ti connetti, l'interfaccia attiva, la posizione, ecc. Questi parametri possono variare da IP e DNS a regole del firewall, utilizzo della VPN, stampanti, risorse condivise o persino script personalizzati.
In Windows, il sistema classifica già le reti come pubblico o privatoQuando ti connetti per la prima volta a una rete Wi-Fi o LAN, il sistema chiede se si tratta di una rete attendibile. In caso affermativo, la rete viene considerata privata; in caso negativo, pubblica. In base a questa decisione, il firewall e la visibilità del dispositivo sulla rete vengono regolati, allentando la sicurezza sulle reti domestiche o di piccoli uffici e rafforzandola sulle reti di hotel, aeroporti o bar.
in un rete privataWindows presuppone che siate voi a controllare chi si connette e che i dispositivi siano noti. Questo vi consente, ad esempio, di individuare altri computer in rete, accedere a cartelle condivise, inviare processi di stampa a stampanti di rete o utilizzare funzionalità come Gruppo Home o lo streaming su una Smart TV. Il sistema riduce le restrizioni perché riconosce che l'ambiente è relativamente sicuro.
in un rete pubblicaWindows presuppone che la rete non sia attendibile. Pertanto, disabilita il rilevamento dei dispositivi, la condivisione di file e stampanti e altri servizi che potrebbero esporvi ad attacchi da parte di altri dispositivi connessi. vulnerabilità come quelle di WhatsAppPuoi continuare a navigare su Internet, ma il tuo dispositivo è isolato dal resto, il che è fondamentale quando ti connetti al Wi-Fi di un centro commerciale, di un aeroporto o di una rete aperta.
Il problema sorge quando lo stesso portatile viene spostato più reti con requisiti molto diversiUno potrebbe richiedere un indirizzo IP statico, un altro DHCP; uno potrebbe richiedere di passare attraverso un proxy aziendale, un altro di attivare una VPN, e un altro ancora potrebbe non farlo. Modificare manualmente ogni volta questo parametro è noioso e soggetto a errori. È qui che entrano in gioco i profili di rete avanzati, sia in Windows che tramite programmi specializzati.
Automatizza le impostazioni quando cambi rete WiFi in Windows
Windows consente di definire parametri diversi per ogni profilo di rete (pubblico o privato) e per ogni connessione specifica, ma la gestione integrata risulta carente se si desidera Cambia IP, DNS, proxy, VPN e firewall tutto in una volta ogni volta che si rileva un SSID diverso. Per questo, l'approccio più comune è quello di combinare le offerte del sistema con strumenti esterni che gestiscono profili avanzati.
Nell'interfaccia grafica di gestione della rete di alcuni ambienti (ad esempio, distribuzioni che utilizzano concetti simili agli NCP di Solaris) viene fatta una distinzione profili di rete reattivi e fissiIl profilo reattivo "Automatico" tenta prima di stabilire una connessione cablata e, se fallisce, ricorre a una connessione wireless. Il profilo fisso "DefaultFixed" definisce un set statico di interfacce che rimangono invariate finché non vengono modificate tramite strumenti da riga di comando.
Questi profili controllano quali interfacce possono essere attivare o disattivare in qualsiasi momentoSu un tipico laptop con Ethernet e Wi-Fi, potresti voler utilizzare solo Ethernet quando è disponibile un cavo e disattivare il Wi-Fi per motivi di sicurezza, o viceversa. L'interfaccia grafica delle Preferenze di Rete offre solitamente visualizzazioni dello stato della connessione, del profilo di rete e delle proprietà della connessione, dove puoi vedere lo stato corrente, quale profilo è attivo e proprietà specifiche (indirizzo IP, IPv4/IPv6, reti wireless preferite, ecc.).
Inoltre, puoi definire posizioni Queste impostazioni raggruppano configurazioni come servizi di denominazione, firewall e IPsec e vengono attivate manualmente o in modo condizionale in base a regole (ad esempio, una posizione "Ufficio" se si ottiene un indirizzo IP da un certo intervallo e una posizione "Casa" con criteri diversi). Può essere attiva una sola posizione alla volta e può essere modificata tramite l'icona di stato della rete o con comandi come netadm sui sistemi simili a Solaris.
Programmi per creare profili automatici per rete WiFi
Per andare oltre a quanto offerto di default da Windows, esistono strumenti specifici che consentono creare e applicare profili di rete completi Dipende dalla rete (SSID) a cui ci si connette o dalla scheda di rete attiva. Molte supportano Windows XP fino a Windows 11.
Interruttore di rete facile
Interruttore di rete facile È un programma a pagamento per Windows che si distingue per l'enorme quantità di impostazioni di rete che può gestire. Sebbene la sua interfaccia ricordi l'era di Windows XP, rimane compatibile con Windows XP, 7, 8, 10 e 11e include sia la modalità GUI che quella a riga di comando per utenti avanzati.
Con Easy Net Switch puoi definire profili che controllano praticamente tutto: Indirizzo IP, maschera di sottorete, gateway, DNS, WINS, NetBIOS, spoofing MAC, WiFi, VPN, proxy, firewall, stampante predefinita, unità di rete, percorsi staticie persino eseguire script o modificare il file hosts. Ogni parametro è facoltativo; è possibile limitarsi a IP e DNS o impostare un profilo molto complesso per un ambiente aziendale.
La creazione di un profilo avviene solitamente cliccando sul pulsante "Nuovo", utilizzando una procedura guidata di base che è possibile personalizzare. Nella sezione "Rete", è possibile scegliere se l'indirizzo IP e il DNS vengono ottenuti tramite DHCP o sono statici, mentre in "Avanzate" è possibile modificare WINS, NetBIOS, cambiare l'indirizzo MAC, cancellare la cache DNS e molto altro. Quando si applica un profilo, il programma visualizza un Riepilogo delle modifiche e se ci sono stati erroriche rende più facile diagnosticare se qualcosa non funziona.
Nella sezione WiFi, Easy Net Switch consente di definire profili wireless collegati a SSID specificiÈ possibile cercare le reti disponibili o inserire manualmente il nome e regolare l'autenticazione: dalle chiavi pre-condivise (PSK) all'autenticazione forte con RADIUS e vari protocolli EAP. Ciò consente, ad esempio, di ottenere il profilo con la chiave corretta, un'autenticazione EAP appropriata e, se necessario, la preparazione automatica della VPN ogni volta che si visualizza l'SSID dell'azienda.
Il programma gestisce anche le impostazioni per delega aziendale (inclusa l'autenticazione), Dial-Up, VPN e offre persino strumenti integrati come ping e traceroute, oltre a un widget desktop per visualizzare l'indirizzo IP corrente in ogni momento. Le sue opzioni includono l'avvio da Windows, la riduzione a icona nella barra delle applicazioni, la disattivazione del rilevamento automatico della rete Wi-Fi e la protezione tramite password dell'accesso ai programmi per impedire modifiche non autorizzate.
Gestore TCP/IP
Gestore TCP/IP È un progetto gratuito e open source che, sebbene non sia stato aggiornato da anni, funziona ancora bene sulle versioni recenti di Windows. Si concentra sulla creazione di profili di rete illimitati che cambiano rapidamente Configurazione IP, maschera di sottorete, gateway, DNS, proxy, nome del gruppo di lavoro e indirizzo MAC.
Uno dei suoi vantaggi è che consente importa la configurazione corrente Il sistema consente di creare un profilo a partire dalle impostazioni esistenti senza doverle inserire manualmente. Offre inoltre la possibilità di associare file batch a ciascun profilo, in modo che l'attivazione esegua automaticamente comandi aggiuntivi (ad esempio, il montaggio di unità di rete o l'avvio di una VPN).
Il passaggio da un profilo all'altro può essere effettuato dall'interfaccia stessa o tramite tasti di scelta rapidaIdeale per gli utenti che hanno bisogno di spostarsi rapidamente tra ambienti diversi (rete aziendale, laboratorio, client, ecc.). Inoltre, il programma si aggiorna automaticamente tramite web quando sono disponibili nuove versioni, eliminando la necessità di download manuali.
Cambio IP
Cambio IP È un'opzione leggera e gratuita pensata per chi ha bisogno di qualcosa di più semplice. Supporta Windows XP e versioni successive, tra cui Windows 10 e Windows 11e funziona con diversi adattatori, sia Ethernet che WiFi.
La sua funzione principale è quella di consentire di modificare senza riavviare il Configurazione IP, maschera di sottorete, gateway e DNS degli adattatori. Gestisce anche le configurazioni proxy per browser come Microsoft Edge o Firefox, integra un comando ping rapido e può rilevare i dispositivi presenti sulla LAN, oltre a visualizzare l'indirizzo IP pubblico visibile a Internet.
Non ha il livello di profondità di Easy Net Switch o NetSetMan, ma per passare da due a tre ambienti di base (ad esempio, un indirizzo IP statico in una rete industriale e DHCP in quella domestica) è solitamente sufficiente.
NetSetMan
NetSetMan È probabilmente l'alternativa gratuita più potente a Easy Net Switch. Ha una versione gratuita con un massimo di otto profili e una versione Pro a pagamento con Profili illimitati e più opzioni orientate al businessLa loro filosofia è che con un solo clic è possibile attivare un set completo di impostazioni di rete.
Tra le configurazioni che consente ci sono quelle classiche (IP, maschera, gateway, DNS), la gruppo di lavoro, stampante predefinita, unità di rete, tabella di routing, server SMTP, nome del PC, indirizzo MAC, stato della scheda di rete, velocità dell'interfaccia, MTU, VLAN e molto altro ancora. Puoi anche definire i parametri del server VPN, avviare script batch, VBScript o JavaScript quando cambi profilo, eseguire altri programmi e persino gestire le impostazioni WiFi in dettaglio.
La versione Pro aggiunge funzionalità come configurazioni proxy avanzate e domini di reteSono molto utili per l'integrazione con ambienti di dominio aziendali e server proxy centralizzati. Tuttavia, la versione gratuita non può essere utilizzata su Windows Server e limita il numero di profili a otto, un aspetto da tenere presente se si gestiscono più sedi.
Profili WiFi gestiti con Microsoft Intune
Negli ambienti aziendali in cui si gestiscono centinaia o migliaia di dispositivi, non è possibile fare affidamento sulla corretta configurazione della rete Wi-Fi da parte di ogni utente. È qui che entra in gioco Microsoft Intune, consentendo di Crea profili WiFi e distribuiscili sui dispositivi Windows, Android, iOS e macOS. e altri, in modo centralizzato.
Un Profilo WiFi di Intune Si tratta di un insieme di parametri di connessione (SSID, tipo di sicurezza, metodo di autenticazione, password, certificati, ecc.) assegnati a gruppi di utenti o dispositivi. Una volta che un dispositivo riceve il profilo, la rete appare nell'elenco delle reti note e, se si trova nel raggio d'azione, il dispositivo può connettersi automaticamente senza che l'utente debba modificare alcuna impostazione.
Per creare un profilo WiFi standard in Intune, si segue un processo simile ad altri criteri: si accede a Centro di amministrazione di Microsoft IntuneVai su Dispositivi, Impostazioni, crea una nuova policy, scegli la piattaforma (Android, iOS, macOS, Windows 10/11, ecc.) e seleziona "Wi-Fi" o il modello corrispondente come tipo di profilo. Quindi definisci il nome del profilo, una descrizione e configura le opzioni specifiche della piattaforma: SSID, tipo di autenticazione (WPA2, WPA3, EAP-TLS, ecc.), utilizzo del certificato, parametri avanzati e, infine, assegna il profilo ai gruppi appropriati.
L'allocazione può essere filtrata con etichette di ambitoSono utili per separare le responsabilità tra diversi team IT (ad esempio, un team di supporto locale che gestisce un solo Paese). Una volta distribuito, il profilo viene visualizzato nell'elenco dei profili di Intune e viene applicato automaticamente alla sincronizzazione dei dispositivi.
Profili WiFi con configurazione PSK e XML tramite Intune
Oltre ai profili WiFi standard, Intune consente di definire Profili WiFi basati su chiave pre-condivisa (PSK) ed EAP Utilizzando direttive personalizzate e WiFi CSP. Ciò avviene tramite file XML che descrivono il profilo wireless e vengono inviati ai dispositivi tramite OMA-URI.
Le chiavi pre-condivise sono comunemente utilizzate per autenticare gli utenti su reti WiFi domestiche o piccole LAN wirelessCon Intune, è possibile creare un criterio di configurazione del dispositivo personalizzato che contiene il profilo Wi-Fi in formato XML e una configurazione OMA-URI che lo invia al sistema operativo. Questa opzione è disponibile per Android (incluse le modalità profilo Enterprise e Work), Windows e reti basate su EAP.
Per farlo funzionare, è necessario preparare un file XML che descriva il profilo, incluso Nome del profilo, SSID (in testo ed esadecimale), tipo di autenticazione, tipo di crittografia, chiave, modalità di connessione, se la rete è nascostaecc. Facoltativamente, è possibile estrarre questo XML da un computer Windows in cui la rete è già configurata utilizzando i comandi netsh.
Per creare un criterio personalizzato in Intune, è necessario tornare a Dispositivi, Impostazioni, creare un nuovo criterio, scegliere la piattaforma e selezionare "Personalizzato" come tipo. All'interno di opzioni di configurazione Aggiungere una nuova voce OMA-URI che indichi:
- Nome e descrizione della configurazione.
- El OMA-URI adatto, ad esempio:
- Su Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
- Su Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
- Tipo di dati "Stringa".
- In «Value», l'XML completo del profilo WiFi.
È importante che il valore di {SSID} nell'OMA-URI corrisponda a nome descrittivo della rete nel profilo XMLSe il nome contiene spazi, questi devono essere codificati come %20 nell'OMA-URI. Inoltre, nell'XML, il campo Deve rimanere falso affinché la chiave venga inviata in chiaro (crittografata dal canale di gestione, ma non offuscata nell'XML). Se impostato su vero, il dispositivo potrebbe aspettarsi una password crittografata e non riuscire a connettersi.
Un esempio generico di un profilo WiFi con PSK includerebbe un blocco con il nome, l'SSID in esadecimale e il testo, ESS , auto , un blocco con il tipo di autenticazione (ad esempio, WPA2PSK) e crittografia (AES) e un blocco con frase d'accesso , falso E password , dove "password" è la chiave in chiaro.
Per le reti basate su EAP, l'XML è molto più complesso perché include configurazioni di EapHostConfig, certificati, convalida del server, elenchi hash CA, EKU, ecc.Vengono definiti parametri quali il tipo di EAP (ad esempio, 13 per EAP-TLS), l'origine delle credenziali (archivio certificati), se è consentita o meno la convalida del server e possibili filtri dei certificati che utilizzano EKU di autenticazione client.
Una volta creata la policy personalizzata, questa viene assegnata agli stessi gruppi che utilizzeresti con un profilo Wi-Fi standard. Durante la registrazione o la sincronizzazione, il dispositivo riceve il file XML, lo importa come profilo wireless ed è pronto per connettersi automaticamente a quella rete.
Crea l'XML da una connessione WiFi esistente
In molti casi, è più comodo lasciare che Windows generi l'XML da una connessione esistente e funzionante. Per farlo su un computer Windows, è possibile seguire questi semplici passaggi: esportare il profilo WiFi:
- Creare una cartella locale, ad esempio c:\WiFi.
- Aprire un prompt dei comandi come amministratore.
- corsa netsh wlan show profili per vedere i nomi dei profili esistenti.
- Esportare il profilo desiderato con
netsh wlan export profile name=»NomeProfilo» cartella=c:\WiFi.
Se il profilo include una chiave precondivisa e si desidera che l'XML contenga la password in testo normale (necessario affinché Intune la utilizzi correttamente), il parametro viene aggiunto. chiave = cancella al comando di esportazione. Il file XML generato (con un nome simile a Wi-Fi-ProfileName.xml) può essere aperto con un editor di testo, esaminato e copiato direttamente nel valore di configurazione OMA-URI in Intune.
Alcuni dettagli devono essere monitorati, come l'elemento Il profilo esportato non include spazi che potrebbero causare errori di allocazione durante l'utilizzo di Intune o che il valore corrispondere all'SSID specificato. Inoltre, i caratteri speciali in XML (come la e commerciale &) devono essere opportunamente codificati per evitare errori di elaborazione.
Buone pratiche quando si utilizza PSK e chiavi rotanti
Quando si gestiscono reti WiFi con PSK in un ambiente aziendale, è essenziale pianificare rotazione delle passwordModificare la password in modo brusco e senza preavviso può causare la disconnessione di molti dispositivi che si affidano a quella rete per comunicare con Intune e ricevere le nuove impostazioni.
Si consiglia di verificare prima che i dispositivi possano connettersi direttamente al punto di accesso Con la configurazione pianificata, progettare la modifica della chiave in modo che sia disponibile una connessione Internet alternativa: una rete ospite, una rete Wi-Fi parallela temporanea o dati mobili. In questo modo, anche se la rete Wi-Fi aziendale cambia il suo PSK, i dispositivi possono utilizzare la connessione secondaria per ricevere il nuovo profilo.
Si consiglia inoltre di pianificare l'implementazione di nuovi profili in ore fuori punta e avvisare gli utenti che la connettività potrebbe essere compromessa per un certo periodo di tempo. Ciò riduce l'impatto sulla produttività e facilita il monitoraggio di errori o anomalie durante il processo.
Profili di connessione di rete e regole del firewall
Alcune soluzioni di sicurezza, come le suite di protezione degli endpoint (Blocco esagonale), consentono di definire profili di connessione di rete personalizzati Questi profili vengono applicati a connessioni specifiche in base a trigger o condizioni. Aggiungono un ulteriore livello alla configurazione di Windows, regolando il firewall, la visibilità dei dispositivi e altre protezioni in base alla rete.
Nella console di configurazione avanzata, di solito è presente una sezione "Profili di connessione di rete" con profili predefiniti come privato y Pubblico Questi profili non possono essere modificati o eliminati. Il profilo Privato è destinato alle reti attendibili (domestiche o aziendali), in cui è consentito l'accesso a file condivisi, stampanti, comunicazioni RPC in entrata e desktop remoto. Il profilo Pubblico, invece, blocca la condivisione di file e risorse ed è destinato alle reti non attendibili.
Oltre a questi profili, puoi creare profili personalizzati e regolare parametri quali nome, descrizione, indirizzi attendibili aggiuntivi, se la connessione è considerata attendibile (aggiungendo intere subnet all'area protetta) e abilitare funzionalità come "Weak WiFi Encryption Report", che avvisa quando ci si connette a reti aperte o scarsamente protette.
Ogni profilo può avere attivatoriIn altre parole, le condizioni che devono essere soddisfatte affinché un profilo venga applicato a una connessione: indirizzo IP del gateway, SSID Wi-Fi, tipo di rete, ecc. I profili vengono valutati in base a un ordine di priorità e viene applicato il primo che soddisfa le condizioni. Questo consente, ad esempio, di avere un profilo specifico per il Wi-Fi aziendale, uno generico per le reti domestiche e uno molto restrittivo per qualsiasi rete pubblica sconosciuta.
Gestione del profilo e della posizione in ambienti avanzati
Nei sistemi più avanzati o nelle reti aziendali con Solaris o altre piattaforme, il concetto di profilo di rete è combinato con Unità di configurazione di rete (NCU), gruppi prioritari e posizioniTramite un'interfaccia grafica delle Preferenze di rete o comandi come ipadm, dladm, netcfg e netadm, è possibile creare profili reattivi e fissi, interfacce di gruppo e definire regole di attivazione.
La vista Profilo di rete della GUI mostra un elenco dei profili disponibiliCon indicatori che indicano quale è attivo. I profili definiti dal sistema, come "Automatico" e "Predefinito Fisso", non possono essere modificati o eliminati, ma è possibile creare più profili reattivi personalizzati. Ogni profilo include un set di connessioni (NCU) che vengono attivate o disattivate quando il profilo entra in vigore.
Per organizzare le interfacce si utilizzano i seguenti elementi: gruppi prioritari con tre tipologie principali:
- Esclusivo: può essere attiva solo una connessione nel gruppo e, mentre una è attiva, i gruppi con priorità inferiore non vengono toccati.
- Condiviso: vengono attivate tutte le possibili connessioni nel gruppo e, finché almeno una è attiva, i gruppi inferiori non vengono utilizzati.
- Tutti: tutti devono essere attivi; se uno fallisce, tutti vengono disattivati, senza tentare di attivare gruppi con priorità inferiore.
Ad esempio, il profilo "Automatico" solitamente ha nel suo gruppo di priorità più alta: interfacce cablateLe connessioni wireless rientrano in un gruppo di priorità inferiore. Pertanto, se è disponibile un cavo, la connessione Ethernet ha sempre la priorità e il Wi-Fi viene evitato a meno che non sia assolutamente necessario.
Come l' posizioni di reteQueste impostazioni raggruppano le configurazioni per i servizi di denominazione (DNS, LDAP, ecc.) e la sicurezza (file di configurazione per firewall IP e IPsec). È possibile definire posizioni di sistema (Automatica, NoNet, DefaultFixed), posizioni manuali o posizioni condizionali. Le posizioni manuali vengono attivate manualmente tramite la finestra di dialogo Posizioni, mentre le posizioni condizionali vengono attivate in base a regole (ad esempio, tipo di rete, indirizzo IP ottenuto, ecc.).
Dall'interfaccia grafica utente è possibile modificare la modalità di attivazione di una posizione, impostarla su "solo manuale" o "attivata da regole" e modificare tali regole per definire esattamente In quali situazioni viene utilizzato ciascun insieme di policy?L'attivazione di una nuova posizione disattiva sempre quella precedente, garantendo che in un dato momento ne sia attiva solo una.
Profili IPsec sui router per connessioni sicure
L'intero sistema di profilazione non è limitato ai dispositivi degli utenti finali. Si applica anche ai router professionali, come quelli della serie. Cisco RV160 e RV260Vengono utilizzati profili IPsec che definiscono il modo in cui il traffico tra i siti viene protetto tramite VPN.
Un Profilo IPsec Raggruppa gli algoritmi e i parametri utilizzati nella negoziazione delle chiavi (fase I e IKE) e nella crittografia dei dati (fase II). Include aspetti quali l'algoritmo di crittografia (3DES, AES-128, AES-192, AES-256), il metodo di autenticazione (MD5, SHA1, SHA2-256), il gruppo Diffie-Hellman (ad esempio, Gruppo 2 di 1024 bit o Gruppo 5 di 1536 bit), la durata delle associazioni di sicurezza (SA) e se viene utilizzata la modalità di codifica automatica (IKEv1 o IKEv2) o manuale.
La fase I Stabilisce una comunicazione sicura e autenticata tra i due endpoint VPN, negoziando le chiavi e autenticando i peer. In questa fase, viene scelto IKEv1 o IKEv2, insieme al gruppo DH, all'algoritmo di crittografia e all'hash di autenticazione, nonché alla durata dell'SA (ad esempio, 28800 secondi). IKEv2 è solitamente preferito perché è più efficiente, richiede meno scambio di pacchetti e supporta più opzioni di autenticazione.
La fase II Gestisce la crittografia del traffico effettivo. È possibile definire se utilizzare ESP (per la crittografia e, facoltativamente, l'autenticazione) o AH (solo autenticazione, senza riservatezza), selezionare nuovamente gli algoritmi di crittografia e hashing, verificare se si desidera utilizzare Perfect Forward Secrecy (PFS) e regolare la durata della SA IPsec (ad esempio, 3600 secondi). In genere, si consiglia di impostare la durata della Fase I su maggiore di quello della fase IIin modo che le chiavi dati vengano rinnovate più frequentemente delle chiavi canale.
Nella configurazione di un RV160/RV260, vai al menu VPN > VPN IPSec > Profili IPSec, aggiungi un nuovo profilo, assegnagli un nome (ad esempio, "HomeOffice"), scegli la modalità di creazione della chiave (Automatica), la versione IKE (idealmente IKEv2 se supportata da entrambe le estremità ), i parametri Fase I e Fase II, abilita PFS se possibile e seleziona nuovamente il gruppo DH per Fase II. Infine, applica e salva la configurazione in modo che persista dopo i riavvii copiando il file configurazione in esecuzione all'avvio.
È fondamentale che entrambe le estremità di un tunnel da sito a sito abbiano gli stessi parametri del profilo (stessi algoritmi, durate, versione IKE, PSK o certificati, ecc.). In caso contrario, la negoziazione fallirà e il tunnel non verrà stabilito.
Nel complesso, questa combinazione di profili WiFi, profili di rete, posizioni, configurazione di Intune e profili IPsec sui router consente di creare ambienti in cui il computer, il laptop o il dispositivo mobile si adatta quasi automaticamente alla rete su cui si trova. Scegli l'interfaccia giusta, applica la sicurezza corretta, connettiti al Wi-Fi senza l'intervento dell'utente, attiva la VPN quando necessario e adatta il firewall al contesto.In definitiva, questo è il modo più pratico e sicuro per creare profili automatici in base alla rete WiFi che utilizzi. Condividi queste informazioni in modo che più utenti siano a conoscenza dell'argomento..