====== Konfigurace IPsec ======
IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci.
Pokud již máte naimportované potřebné certifikáty a máte jistotu, že máte správně nastavený Firewall, můžete pokračovat ke konfiguraci IPsecu.
Konfigurace IPsecu se skládá ze dvou pravidel ''consec'' a ''mainmode''.
===== 1. consec pravidlo =====
$ netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+TTTmin
Hodnotu **X.X.X.X** parametru ''endpoint1'' nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu **TTT** parametru ''qmsecmethods'' nahraďte hodnotou ''Doba platnosti SA''. Hodnotu ''Doba platnosti SA'' máte již předpočítanou v [[https://admin.eduroam.cz|administrativní aplikaci]] u vašeho RADIUSu.
==== Výpis pravidla ====
$ netsh advfirewall consec show rule all
==== Smazání pravidla ====
$ netsh advfirewall consec delete rule name="radius1.eduroam.cz"
\\
===== 2. mainmode pravidlo =====
==== eduroam CA 2 + CESNET Root ====
Pokud na vašem serveru používáte certifkát od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|eduroam CA 2]] použijte toto pravidlo:
$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="DC=cz, DC=cesnet-ca, O=CESNET CA, CN=eduroam CA 2 catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"
Pozor! Původní tvar pravidla mainmode v kombinaci s první verzí eduroam CA měl odlišný/opačný zápis Root certifikátu. V původní variantě bylo: auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root |..."
==== Pro TCS ====
=== USERTrust + CESNET Root ===
$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, S=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"
=== DigiCert + CESNET Root ===
Používané do 30. 4. 2020
$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"
==== Výpis pravidla ====
$ netsh advfirewall mainmode show rule all
==== Smazání pravidla ====
$ netsh advfirewall mainmode delete rule name="radius1.eduroam.cz"
==== Jiný certifikát ====
Pokud použijete jiný certifikát než TCS nebo eduroam CA 2, odvoďte změnu parametru ''auth1ca'' u pravidla mainmode. Pozor ale, pořadí rozlišovacích jmen (Distinguished Name). Pořadí použité u parametru ''auth1ca'' je opačné oproti pořadí při výpisu certifikátů pomocí příkazu CertUtil.
\\
===== Otestování spojení =====
Jednoduše otestujte spojení pingem na ''radius1.eduroam.cz''.
$ ping radius1.eduroam.cz
\\
===== Ladění =====
Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování:
* ''Audit IPSec Extended Mode''
* ''Audit IPSec Main Mode''
* ''Audit IPSec Quick Mode''
viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}.
Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Audit IPsec Driver''. Viz {{:cs:spravce:pripojovani:ipsec:localgrouppolicyeditor.png?linkonly|screenshot}}.
Logy samotné jsou pak k dispozici v ''Event Viewer'' v ''Windows Logs''->''Security'', viz {{ :cs:spravce:pripojovani:ipsec:eventviewer.png?linkonly|screenshot}}.
\\
-----
Zpět na [[cs:spravce:pripojovani:radius:nps]]