Eine VPN-Regel bezieht die Informationen über Quell- und Ziel-Netz u.a. aus den Firewall-Regeln.
Mit dem Aktivieren der Option “VPN-Regel” für eine Firewall-Regel wird festgelegt, dass aus dieser Firewall-Regel eine VPN-Regel abgeleitet wird.
Bei der Verwendung von mehreren lokalen Netzwerken, siehe auch ARF, muss die automatische Erzeugung der VPN-Regeln für jedes Netzwerk gezielt eingestellt werden. Zur Definition der Netzwerke mit automatischer VPN-Regel-Erzeugung wird das Schnittstellen-Tag verwendet, das für jedes Netzwerk angegeben ist. Über dieses Tag ist eine Zuordnung von lokalem Netz zur VPN-Route möglich: Jedes auf einem lokalen Interface empfangene Paket wird mit dem Schnittstellen-Tag markiert und auf eine Route mit dem selben Tag oder dem Default-Tag (0) weitergeleitet.
Für die automatische VPN-Regel-Erzeugung werden nun alle Netzwerke aufgenommen, die
- das Tag '0' haben oder
- die beiden folgenden Bedingungen erfüllen:
- Das Netzwerk hat das gleiche Schnittstellen-Tag wie der zur VPN-Verbindung gehörende Eintrag in der IP-Routing-Tabelle (nicht zu verwechseln mit dem Routing-Tag für das remote Gateway)
- Das Netzwerk ist vom Typ 'Intranet'
Anmerkung: VPN-Regeln für eine DMZ müssen manuell ebenso erstellt werden wie für Netzwerke, deren Schnittstellen-Tag nicht zum Routing-Tag der VPN-Route passt.