IPsecトンネルモード設定：

別にIPsecトンネルを構築するだけなら、Y2K Severでなくても、XP Pro, Y2K Pro 以降で構築は可能なんですが、とりあえずSeverを用います
　

Ｙ２ＫＳｅｖｅｒでIPsecを構築する場合、[MMC]から[IPsec設定]を組み込まなくてはならないので

[スタート]->[ファイル名を指定して実行]->[MMC（入力)]

[コンソール]->[スナップインの追加と削除]を用いて

[]IPセキュリティ　ポリシーの管理]を追加

これにより、[MMC]にIPセキュリティポリシーが追加されました

（図はIPsecポリシーが構築済み）

Y2Kには初期設定で３つのポリシーが設定されていますが、これは参照程度にしておきましょう。
（そもそも、これらはトンネルモードのポリシーじゃない）

では、新規に「ＩＰセキュリティポリシー」を作成・・・する前に、
「ＩＰフィルタ一覧とフィルタ操作の管理」を用いて、最初にフィルターを作成をしてしまいます。
（フィルターはすべてのＩＰセキュリティポリシーで共有するので）

<追加>を選択して新しいフィルターを追加します。
「追加ウィザードを使用」にチェックが付いていればウィザードが起動され、ある程度対話式に入力が可能で便利？

と、上記構築図に従って、IPフィルターを作成します。

ここで注意なのが、Windowsを用いたIPsecトンネルモードの場合、
IPsecフィルターのミラーは効きません

（私はこれで、ハマった･･･）

したがって、「ＩＰフィルタ」は「受け側」と「送り側」が必要となります。
とは言っても、フィルターを反転させるだけなんですけどね

次に、「ＩＰセキュリティポリシー」を作成します。これまたウイザードがあり

ここで、注意なのが
「既定の応答規則をアクティブにする」のチェックは外してしまいます
(これにチェックがついていると、いらないフィルターがアクティブになってしまいます）

次に、プロパティを起こして、フィルタを追加していきます。

では、例として、ゲートウエイ「Ｍｉｆｅｒ」の「送り側」フィルタを作成していきます。
（何度も言いますが、フィルターは「送り側」と「受け側」が必要です！！）

ここでは、IPsecトンネルモードなので、
「次のＩＰアドレスでトンネルエンドポイントを指定する」をチェックして、通信相手のIPsecゲートウエイのアドレスを指定
　

（「受け側」を作成する場合、「自分のＷＡＮアドレス」を指定します）

次に、承認方法を指定する訳ですが、「証明機関（ＣＡ）」や「Windows２０００　既定値」（Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙですね）は
設定と言うか、それぞれを構築しなくちゃならないので、 とりあえずここでは「キー交換」を使用します。

　

（ここでは簡略化の為にすべてのフィルタに同じキーを＆それほど長いキーを指定いません）

次に、「ＩＰフィルタ」を指定してから、 （先ほど作った「送り側」のフィルタを指定）
「フィルタ操作」でパケットのカプセル化方法を指定できる訳ですが・・・
ここでは「テスト」ですし、------詳しい知識が必要なので、
「許可」を選んでしまいます。（又、許可を選ばないと、パケットアナライザでパケットの確認が出来ない･･･）

余談ですが、
Ｙ２ＫＳｅｒｖｅｒでは、
ＡＨのみＥＳＰのみ、ＡＨ＋ＥＳＰの組み合わせが可能みたいです、
また、アルゴリズムも、ＭＤ５、ＳＨＡ１とＤＥＳ、３ＤＥＳの設定が可能

（図の「テスト承認」は、あとで承認を切り替てのテストを行いやすくする為、新規で作成しています）

これで、「Ｍｉｆｅｒ」の「送り側」フィルタの作成は終了しました。あと「Ｍｉｆｅｒ」の「受け側」は
トンネルのエンドポイントを「自分のＷＡＮアドレス」指定して、
ＩＰフィルタを作成した「受け側」フィルタにしてしまうだけです。

又、「Ｎａｎａｍｉ」も基本的には一緒、

(図はＭｉｆｅｒ側の設定、赤丸印の所でＩＰアドレスが指定されている事に注意しましょう）

余談：ここで、「全般」を選択すれば、「キー交換」方法についての詳細が指定可能となります
今回「キー交換」方法はＯＳ標準のまま触っていません

　

これで、ややこしい、IPsecの設定は終了です
あ、作成した、「ＩＰセキュリティポリシー」の割り当てをするのをお忘れなく。

と、ＧＷには変わりないので、静的ルートを作ってります。

私は静的ルートを作るのをわすれて「なぜつながらねぇー」って１日悩みましたから･･･
ちなみに、ＲＩＰを使うって手もある