Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | |||
cs:spravce:pripojovani:ipsec:uvod [2020/03/25 08:38] – [Parametry IPsec] 1141cd825e33f2281fc659232bcf401af2705c39@einfra.cesnet.cz | cs:spravce:pripojovani:ipsec:uvod [2024/05/17 08:30] (aktuální) – odstraněno Jan Čáslavský | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
- | ====== Připojení k eduroam.cz: konfigurace IPsec ====== | ||
- | |||
- | |||
- | IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských | ||
- | údajů přenášených v této komunikaci. K dispozici je detailní návod pro [[: | ||
- | |||
- | Než budete spojení konfigurovat, | ||
- | správcem národních RADIUS serverů, aby upravil jejich konfiguraci a | ||
- | umožnil Vám připojení. | ||
- | |||
- | Připojení pomocí IPsec je možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití [[cs: | ||
- | |||
- | ===== Nastavení FW ===== | ||
- | |||
- | Na FW musí být povolen **UDP** port **500**, který používá IKE | ||
- | protokol, dále je nutné povolit protokol **ESP**. Jestliže je | ||
- | defaultní politika FW " | ||
- | nepovolené porty), tak je ještě rozumné nastavit " | ||
- | (odpovídat ICMP zprávou o nedosažitelnosti služby) pro **UDP** port | ||
- | **4500**, který je využíván NAT-T. | ||
- | |||
- | Národní RADIUS server pravidelně pingem zjištuje funkčnost | ||
- | IPsec spojení, proto je také nutné povolit **ICMP echo request** na | ||
- | FW. Jestliže používáte nějakou ochranu omezující množství vyřízených | ||
- | požadavků, | ||
- | měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety | ||
- | o velikost 512B. | ||
- | |||
- | |||
- | ===== Parametry IPsec ===== | ||
- | |||
- | |||
- | IPsec je používán v transportním režimu za použití **ESP**, **AH** se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese. | ||
- | |||
- | * Fáze 1 | ||
- | * Šifrovací algoritmus: **3DES** | ||
- | * Hash algoritmus: **SHA1** | ||
- | * Diffie-Hellman group: **2** (1024bit) | ||
- | * Doba platnosti: **24 hodin** | ||
- | |||
- | * Fáze 2 | ||
- | * Šifrovací algoritmus: **3DES** | ||
- | * Autentikační algoritmus: **HMAC-SHA1** | ||
- | * Kompresní algoritmus: **deflate** | ||
- | * PFS group: **2** (1024bit) | ||
- | * Doba platnosti: **12-18 hodin**, vypočteno dle níže uvedeného vzorce | ||
- | |||
- | {{page> | ||
- | |||
- | Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete ve [[https:// | ||
- | |||
- | ===== Certifikáty ===== | ||
- | |||
- | Národní RADIUS používá certifikát vydaný [[https:// | ||
- | |||
- | RADIUS organizace může používat certifikát od několika [[: | ||