cs:spravce:pripojovani:ipsec:windows2003s

Připojení k eduroam.cz: konfigurace IPsec na MS-Windows 2003


Návod je už poněkud zastaralý, možná může sloužit jako inspirace pro instalaci v nových verzí MS Windows, je ale třeba zohlednit to co za léta změnilo, viz parametry IPsec na samotné stránce.

Přes zastarání byl návod úspěšně použit v roce 2018 na Windows 2016.

Konfigurace popisovaná níže byla testována na anglické verzi Microsoft Windows Server 2003 Standart Edition Service Pack 1. K nasnímání screenshotů byla použita dočasná instalace provozovaná na doménovém jméně semikxp.cesnet.cz, což pravda není příliš štastně zvolené s ohledem na operační systém, ale bylo to nutné z jiných důvodů.

Popis konfigurace je strašlivě roztahaný, protože celé nastavení je rozeseto do obrovského množství miniaturních okének. Doufáme ale, že podle tohoto popisu bude každý schopen sám nastavení provést.

Logy jsou k dispozici v aplikaci Event Viewer v sekci Security, používejte je, jsou užitečné.

Instalace certifikátů

Zažádejte si o certifikát pro IPsec a až ho získáte, připravte si ho ve formátu PKCS#12, ujistěte se že je včetně privátního klíče! Dál budete potřebovat certifikáty CESNET Root a CA3, uložte si je někam na disk. Návod byl vytvořen v době kdy CESNET přecházel z jedné CA na jinou. V současnosti máme už zase jinou CA která používá kořenovou (CESNET Root) a mezilehlou CA (CESNET CA3), postup si musíte mírně upravit v tomto kontextu.

Win2003 server má tři typy úložišť certifikátů, první je pro uživatele, druhé pro služby a třetí pro počítač. K jejich editaci se používá Snap-in modul Microsoft Management Console.

1. Klikněte na tlačítko „Start“, zvolte „Run…“ a do příkazového řádku vepište mmc. Otevře se okno nadepsané „Console1“, v menu „File“ zvolte „Add/Remove snap-in…“. Otevře se okno nadepsané „Add/Remove Snap-in“, v něm klikněte na tlačítko „Add…“ a konečně v okně „Add Standalone Snap-in“ zvolte „Certificates“ a klikněte na tlačítko „Add“.
2. V okně nadepsaném „Certificates snap-in“ zvolte, že chcete pracovat s certifikáty týkajícími se počítače „Computer account“.
3. V dalším okně „Select Computer“ zvolte, že chcete pracovat s lokálním počítačem „Local computer: (the computer this console is running on)“ a potvrďte tlačítkem „Finish“.
4. V levé části okna klikněte na plus před „Trusted Root Certification Authorities“. Až se položka rozbalí, tak pravým tlačítkem klikněte na „Certificates“ a z kontextového menu zvolte „All Tasks“ a následně import. Postupně naimportujte oba certifikáty CESNET Root a CA3.

Certifikáty se musí objevit v seznamu v pravé části okna (S názvem CESNET Root a CESNET CA3, screenshot je z minulosti kdy byla jména jiná).
5. Obdobně naimportujte serverový certififikát do „Personal/Certificates“.

Konfigurace IPsec

1. Spusťe „Start/Administrative Tools/Local Security Policy“. V levé části okna klikněte pravým tlačítkem na „IP security Policies on Local Computer“ a zvolte z kontextového menu „Create IP Security Policy…“.

Spustí se průvodce „IP Security Policy Wizard“, který vás provede první částí definice IPsec politiky.
2. Na první stránce vyplňte jméno a popis politiky.
3. Na druhé stránce zrušte „Activate the default response rule“.
4. Na třetí a poslední stránce zvolte „Edit properties“.
5. V okénku s vlastnostmi právě vytvořené politiky zrušte „Use Add Wizard“ a klikněte na tlačítko „Add…“.
6. V okénku „New Rule Properties“ na záložce „IP Filter List“ opět zvolte tlačítko „Add…“.
7. V okénku „IP Filter List“ zadejte radius1.eduroam.cz jako jméno filtru, zrušte „Use Add Wizard“ a opět klikněte na tlačítko „Add…“.
9. Na záložce „Protocol“ nic neměňte. Měla by vypadat tak, jak je uvedeno na připojeném obrázku.
10. Potvrďťe okno „IP Filter Properties“ stiskem tlačítka „Ok“, přečtěte si varování, které se zobrazí, a potvrďte ho stiskem tlačíka „Yes“.
12. Tím se vrátíte k okénku „IP Filter List“ z bodu 7, bude ale vyplněn právě zadaný IP filtr. Potvrďte ho stiskem tlačíka „Ok.“.
13. Tím se vrátíte k okénku „New Rule Properties“ z bodu 6, v seznamu „IP Filter list“ bude uveden právě zadaný IP filter seznam. Zvolte ho tak, jak je naznačeno na obrázku, a přepněte se na záložku „Filter Action“.
14. Na záložce „Filter Action“ zrušte „Use Add Wizard“ a klikněte na tlačítko „Add…“.
15. V okénku „New Filter Action Properties“ zvolte „Negotiate security“ a klikněte na tlačíko „Add…“.
16. V okénku „New Security Method“ zvolte „Custom“ a klikněte na tlačítko „Settings…“.
17. V okénku „Custom Security Method Settings“ zrušte „Data and addres integrity without encryption (AH)“. Zvolte „Data integrity and encryption (ESP)“. Jako „Integrity algorithm“ musí být zvoleno „SHA1“ a jako „Encryption Algorithm“ „3DES“. Zvolte „Generate a new key every“ a zadejte hodnotu pro váš server, získáte ji v CESNET CAAS.

Potvrďte toto okno stiskem tlačíka „Ok“, tím se vrátíte k oknu „New Security Method“ z předchozího bodu 16, které potvrďte tlačítkem „Ok“.
18. Tím se vrátíte k oknu „New Filter Action Properties“ z bodu 15. V seznamu „Security method preference order“ se objeví parametry, které jste právě zadali, a v dolní části okna „New Filter Action Properties“ se povolí volba „Use session key perfect forward secrecy (PFS)“. Zvolte ji.

Pak přepněte na záložku „General“ a zadejte radius1.eduroam.cz jako jméno této akce a potvrďte celé okénko tlačítkem „Ok“.
19. Tím se vrátíte k záložce „Filter Action“ okénka „New Rule Properties“ z bodu 14, v seznamu „Filter Actions“ ale přibude možnost „radius1.eduroam.cz“. Zvolte ji.
20. Na záložce „Connection Type“ musí být zvoleno „All network connections“.
21. Na záložce „Tunnel Setting“ musí být zvoleno „This rule does not specify an IPsec tunnel“, chceme IPsec používat v transportním režimu.
22. Na záložce „Authentication Methods“ odstraňte předvyplněnou metodu „Kerberos“ a klikněte na tlačítko „Add…“.
23. V okénku „New Authentication Method Properties“ zvolte „Use a certificate from this certification authority (CA)“.
24. Klikněte na tlačítko „Browse…“ a z nabídnutého seznamu vyberte starou CESNET CA. Potvrďte okénko „New Authentication Method Properties“ tlačítkem „Ok“.
25. Na záložce „Authentication Methods“ okna „New Rule properties“ z bodu 22 zvolte opět tlačítko „Add…“.

V okénku „New Authentication Method Properties“ zvolte „Use a certificate from this certification authority (CA)“. Klikněte na tlačítko „Browse…“ a z nabídnutého seznamu vyberte novou CESNET CA.

Potvrďte okénko „New Authentication Method Properties“ tlačítkem „Ok“.
26. Tím se opět vracíte k záložce „Authentication Methods“ okna „New Rule properties“ známé z bodu 22. Nyní jsou ale v seznamu autentikačních metod dvě metody, které jste právě nadefinovali.

Potvrďte všechny provedené změny tlačítkem „Close“.
27. Potvrzením se vrátíte k oknu „eduroam IPsec Properties“ z bodu 5.

Zopakujte kroky 5.-26. ještě jednou, ale tentokrát místo radius1.eduroam.cz zadávejte radius2.eduroam.cz.

eduroam.cz provozoval dva národní RADIUS servery, ale po potížích s stabilitou jsme se rozhodli přejít jen na jeden server. Obrázek zobrazuje konfiguraci z této doby. Přejděte k bodu 28.
28. Přepněte se na záložku „General“ okna „eduroam IPsec Properties“ a kliněte na tlačítko „Settings…“.
29. V okně „Key Exchange Settings“ nesmí být zvoleno „Master key perfect forward secrecy (PFS)“. Klikněte na tlačítko „Methods…“
30. V okně „Key Excange Security Methods“ upravte „Security method preference order“ podle obrázku.

Potvrďte toto okno i okno z bodu 29 stiskem tlačítka „Ok“.
31. Tím se vrátíte k oknu „Local Security Settings“ zmiňovanému v bodě 1 tohoto návodu.

Klikněte pravým tlačíktem na „eduroam IPsec“ a z kontextového menu zvolte „Assign“.
32. Spusťe „cmd“ a zadejte příkaz ping radius1.eduroam.cz. V ten okamžik by se mělo začít IPsec spojení sestavovat a za několik vteřin by už měl ping procházet bez problémů.

Jan Tomášek 11.09.2006 16:33 dokument převeden z www.eduroam.cz

Last modified:: 2018/08/23 12:49