====== Připojení k eduroam.cz: konfigurace IPsec ====== IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci. K dispozici je detailní návod pro [[:cs:spravce:pripojovani:ipsec:windows2003s|MS Windows 2003 Server (funguje i na 2016)]] a pro [[:cs:spravce:pripojovani:ipsec:windows2008s|MS Windows 2008 Server]]. Než budete spojení konfigurovat, musíte se domluvit se správcem národních RADIUS serverů, aby upravil jejich konfiguraci a umožnil Vám připojení. Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití [[cs:spravce:pripojovani:radsec:uvod|RadSec]], který je podstatně snazší na implementaci. ===== Nastavení FW ===== Na FW musí být povolen **UDP** port **500**, který používá IKE protokol, dále je nutné povolit protokol **ESP**. Jestliže je defaultní politika FW "deny" (ignorování komunikace na nepovolené porty), tak je ještě rozumné nastavit "reject" (odpovídat ICMP zprávou o nedosažitelnosti služby) pro **UDP** port **4500**, který je využíván NAT-T. Národní RADIUS server pravidelně pingem zjištuje funkčnost IPsec spojení, proto je také nutné povolit **ICMP echo request** na FW. Jestliže používáte nějakou ochranu omezující množství vyřízených požadavků, tak ji pro národní servery deaktivujte, jinak mohou být měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety o velikost 512B. ===== Parametry IPsec ===== IPsec je používán v transportním režimu za použití **ESP**, **AH** se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese. * Fáze 1 * Šifrovací algoritmus: **3DES** * Hash algoritmus: **SHA1** * Diffie-Hellman group: **2** (1024bit) * Doba platnosti: **24 hodin** * Fáze 2 * Šifrovací algoritmus: **3DES** * Autentikační algoritmus: **HMAC-SHA1** * Kompresní algoritmus: **deflate** * PFS group: **2** (1024bit) * Doba platnosti: **12-18 hodin**, vypočteno dle níže uvedeného vzorce {{page>[:cs:spravce:aapk:frag_sa_lifetime]}} Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete ve [[https://admin.eduroam.cz/radius_servers|webovém administrativním rozhraní]]. ===== Certifikáty ===== Národní RADIUS používá certifikát vydaný [[https://pki.cesnet.cz/cs/ch-cca-crt-crl.html#cesnet_ca_4|CESNET CA4]], musíte nastavit důvěru i CESNET Root. RADIUS organizace může používat certifikát od několika [[:cs:spravce:pripojovani:serverove_certifikaty|certifikačních autorit]].