O melhor lugar para começar é na página IPsec do Microsoft TechNet. É bastante simples configurar uma diretiva IPsec local que aceita pacotes apenas de um único endereço. Eu acho que você precisará de duas regras:
Regra 1
- lista de filtros com um filtro: de qualquer endereço: qualquer porta para my-address: any-port
- Filtrar ação: Regra de bloqueio: ligar a lista com o açao; todas as interfaces; nenhum túnel; qualquer método de autenticação
Regra 2
- lista de filtros com dois filtros: de your-workstation-address: qualquer porta para my-address: any-port
- Ação de filtro: permitir
- Regra: vincule a lista à ação; todas as interfaces; nenhum túnel; qualquer método de autenticação