Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:spravce:pripojovani:ipsec:windows2016s [2019/12/21 15:55]
caslavsky@cesnet.cz CA3 -> CA4
+++ cs:spravce:pripojovani:ipsec:windows2016s [2020/01/02 17:14]
caslavsky@cesnet.cz Sjednoceni navodu
@@ Řádek 1: / Řádek 1: @@
 ====== Konfigurace IPsec na Windows Server 2016 ======
-===== Certifikáty =====
+Lze postupovat podle aktuálního [[cs:spravce:pripojovani:radius:nps:ipsec|návodu]] (WS 2019).
-Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]].
+Nejprve před konfigurací IPSecu je však nutné provést prerekvizity [[cs:spravce:pripojovani:radius:nps:firewall|Nastavení Firewall]] a [[cs:spravce:pripojovani:radius:nps:certificates|Instalace certifikátů]].
-Nainstalujte certifikáty CESNET Root a CESNET CA 4 a certifikát serveru podle [[https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/windows2003s#instalace_certifikatu|návodu pro Win 2003]].
-===== Konfigurace =====
-Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů:
-<WRAP prewrap><code>
-C:\Windows\system32>netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 4  catype:Intermediate"
-Ok.
-C:\Windows\system32>netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+841min+2147483647kb
-Ok.
-</code></WRAP>
-Hodnotu ''xx.xx.xx.xx'' parametru endpoint1 musíte nahradit veřejnou IPv4 adresou vašeho serveru. Čas 841min představuje dobu [[https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/uvod#doba_platnosti_sa|platnosti SA]] máte ji předpočítanou v CESNET CAAS, jen ji musíte převést z vteřin. Operace 'add' vždy pravidlo přidá, pokud budete muset parametry měnit můsíte předchozí smazat, viz níže v tomto návodu.
-Kontrola nastavených parametrů IPsec se provede:
-<code>
-C:\Windows\system32>netsh advfirewall mainmode show rule all
-Rule Name:                            radius1.eduroam.cz
-----------------------------------------------------------------------
-Enabled:                              Yes
-Profiles:                             Domain,Private,Public
-Endpoint1:                            xx.xx.xx.xx/32
-Endpoint2:                            195.113.187.22/32
-Auth1:                                ComputerCert,ComputerCert
-Auth1CAName:                          CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz
-Auth1CertMapping:                     No
-Auth1ExcludeCAName:                   No
-Auth1CertType:                        Root
-Auth1HealthCert:                      No
-Auth1CAName:                          DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 4
-Auth1CertMapping:                     No
-Auth1ExcludeCAName:                   No
-Auth1CertType:                        Intermediate
-Auth1HealthCert:                      No
-SecMethods:                           DHGroup2-3DES-SHA1
-ForceDH:                              No
-KeyLifetime:                          1440min,0sess
-Ok.
-C:\Windows\system32>netsh advfirewall consec show rule all
-Rule Name:                            radius1.eduroam.cz
-----------------------------------------------------------------------
-Enabled:                              Yes
-Profiles:                             Domain,Private,Public
-Type:                                 Static
-Mode:                                 Transport
-Endpoint1:                            xx.xx.xx.xx/32
-Endpoint2:                            195.113.187.22/32
-Protocol:                             Any
-Action:                               RequireInRequireOut
-Auth1:                                ComputerKerb
-MainModeSecMethods:                   DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
-QuickModeSecMethods:                  ESP:SHA1-3DES+841min+2147483647kb
-ApplyAuthorization:                   No
-Ok.
-</code>
-Případné smazání pravidel:
-<code>
-C:\Windows\system32>netsh advfirewall mainmode delete rule all
-Deleted 1 rule(s).
-Ok.
-C:\Windows\system32>netsh advfirewall consec delete rule all
-Deleted 1 rule(s).
-Ok.
-</code>
-Dokumentace ke [[https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771920(v%3dws.10)|konfigurování Windows Firewallu pomocí netsh]], je na stránkách Microsoftu.
-===== Propingávání =====
-IPsec tunel se sestavuje jednotky až desítky vteřin, takže je s ohledem na rychlost ověření uživatelů v hodné udržovat tunel aktivní. K tomu lze použít příkaz ''ping -n 3 radius1.eduroam.cz'' naplánovaný na každých 15min pomocí Task Scheduleru.
-===== Ladění =====
-Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování:
-  * ''Audit IPSec Extended Mode''
-  * ''Audit IPSec Main Mode''
-  * ''Audit IPSec Quick Mode''
-viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}.
-Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Audit IPsec Driver''. Viz {{:cs:spravce:pripojovani:ipsec:localgrouppolicyeditor.png?linkonly|screenshot}}.
-Logy samotné jsou pak k dispozici v ''Event Viewer'' v ''Windows Logs''->''Security'', viz {{ :cs:spravce:pripojovani:ipsec:eventviewer.png?linkonly|screenshot}}.

Rozdíly

Rychlé odkazy

Kontakt

Service desk