cs:spravce:pripojovani:ipsec:windows2016s

Konfigurace IPsec na Windows Server 2016

Certifikáty

Před konfigurací IPsec musíte získat certifikát pro váš server, návod předpokládá použití eduroam CA.

Nainstalujte certifikáty CESNET Root a CESNET CA 3 a certifikát serveru podle návodu pro Win 2003.

Konfigurace

Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů:

C:\Windows\system32>netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 3  catype:Intermediate"
Ok.

C:\Windows\system32>netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+841min+2147483647kb
Ok.

Hodnotu xx.xx.xx.xx parametru endpoint1 musíte nahradit veřejnou IPv4 adresou vašeho serveru. Čas 841min představuje dobu platnosti SA máte ji předpočítanou v CESNET CAAS, jen ji musíte převést z vteřin. Operace 'add' vždy pravidlo přidá, pokud budete muset parametry měnit můsíte předchozí smazat, viz níže v tomto návodu.

Kontrola nastavených parametrů IPsec se provede:

C:\Windows\system32>netsh advfirewall mainmode show rule all
Rule Name:                            radius1.eduroam.cz
----------------------------------------------------------------------
Enabled:                              Yes
Profiles:                             Domain,Private,Public
Endpoint1:                            xx.xx.xx.xx/32
Endpoint2:                            195.113.187.22/32
Auth1:                                ComputerCert,ComputerCert
Auth1CAName:                          CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz
Auth1CertMapping:                     No
Auth1ExcludeCAName:                   No
Auth1CertType:                        Root
Auth1HealthCert:                      No
Auth1CAName:                          DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 3
Auth1CertMapping:                     No
Auth1ExcludeCAName:                   No
Auth1CertType:                        Intermediate
Auth1HealthCert:                      No
SecMethods:                           DHGroup2-3DES-SHA1
ForceDH:                              No
KeyLifetime:                          1440min,0sess
Ok.

C:\Windows\system32>netsh advfirewall consec show rule all
Rule Name:                            radius1.eduroam.cz
----------------------------------------------------------------------
Enabled:                              Yes
Profiles:                             Domain,Private,Public
Type:                                 Static
Mode:                                 Transport
Endpoint1:                            xx.xx.xx.xx/32
Endpoint2:                            195.113.187.22/32
Protocol:                             Any
Action:                               RequireInRequireOut
Auth1:                                ComputerKerb
MainModeSecMethods:                   DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
QuickModeSecMethods:                  ESP:SHA1-3DES+841min+2147483647kb
ApplyAuthorization:                   No
Ok.

Případné smazání pravidel:

C:\Windows\system32>netsh advfirewall mainmode delete rule all
Deleted 1 rule(s).
Ok.

C:\Windows\system32>netsh advfirewall consec delete rule all
Deleted 1 rule(s).
Ok.

Dokumentace ke konfigurování Windows Firewallu pomocí netsh, je na stránkách Microsoftu.

Propingávání

IPsec tunel se sestavuje jednotky až desítky vteřin, takže je s ohledem na rychlost ověření uživatelů v hodné udržovat tunel aktivní. K tomu lze použít příkaz ping -n 3 radius1.eduroam.cz naplánovaný na každých 15min pomocí Task Scheduleru.

Ladění

Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí Local Group Policy Editor v Local Computer PolicyComputer ConfigurationWindows SettingsSecurity SettingsAdvanced Audit PolicySystem Audit PoliciesSystemLogon/Logoff a tam je potřeba zapnout logování:

  • Audit IPSec Extended Mode
  • Audit IPSec Main Mode
  • Audit IPSec Quick Mode

viz screenshot.

Případně je také možné zapnout auditování IPsec driveru, opět pomocí Local Group Policy Editor v Local Computer PolicyComputer ConfigurationWindows SettingsSecurity SettingsAdvanced Audit PolicySystem Audit PoliciesSystemAudit IPsec Driver. Viz screenshot.

Logy samotné jsou pak k dispozici v Event Viewer v Windows LogsSecurity, viz screenshot.

Last modified:: 2019/01/07 11:28