Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | |||
cs:spravce:pripojovani:ipsec:windows2016s [2020/01/02 16:19] jan.tomasek@cesnet.cz CESNET CA 4 => CESNET Root verime koreni |
cs:spravce:pripojovani:ipsec:windows2016s [2020/01/02 17:14] caslavsky@cesnet.cz Sjednoceni navodu |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Konfigurace IPsec na Windows Server 2016 ====== | ====== Konfigurace IPsec na Windows Server 2016 ====== | ||
- | ===== Certifikáty ===== | + | Lze postupovat podle aktuálního [[cs:spravce:pripojovani:radius:nps:ipsec|návodu]] (WS 2019). |
- | Před konfigurací IPsec musíte získat [[https://www.eduroam.cz/cs/spravce/pripojovani/serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]]. | + | Nejprve před konfigurací IPSecu je však nutné provést prerekvizity [[cs:spravce:pripojovani:radius:nps:firewall|Nastavení Firewall]] a [[cs:spravce:pripojovani:radius:nps:certificates|Instalace certifikátů]]. |
- | Nainstalujte certifikáty CESNET Root a CESNET CA 4 a certifikát serveru podle [[https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/windows2003s#instalace_certifikatu|návodu pro Win 2003]]. | ||
- | |||
- | ===== Konfigurace ===== | ||
- | |||
- | Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů: | ||
- | <WRAP prewrap><code> | ||
- | C:\Windows\system32>netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate" | ||
- | Ok. | ||
- | |||
- | C:\Windows\system32>netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+841min+2147483647kb | ||
- | Ok. | ||
- | </code></WRAP> | ||
- | |||
- | Hodnotu ''xx.xx.xx.xx'' parametru endpoint1 musíte nahradit veřejnou IPv4 adresou vašeho serveru. Čas 841min představuje dobu [[https://www.eduroam.cz/cs/spravce/pripojovani/ipsec/uvod#doba_platnosti_sa|platnosti SA]] máte ji předpočítanou v CESNET CAAS, jen ji musíte převést z vteřin. Operace 'add' vždy pravidlo přidá, pokud budete muset parametry měnit můsíte předchozí smazat, viz níže v tomto návodu. | ||
- | |||
- | Kontrola nastavených parametrů IPsec se provede: | ||
- | |||
- | <code> | ||
- | C:\Windows\system32>netsh advfirewall mainmode show rule all | ||
- | Rule Name: radius1.eduroam.cz | ||
- | ---------------------------------------------------------------------- | ||
- | Enabled: Yes | ||
- | Profiles: Domain,Private,Public | ||
- | Endpoint1: xx.xx.xx.xx/32 | ||
- | Endpoint2: 195.113.187.22/32 | ||
- | Auth1: ComputerCert,ComputerCert | ||
- | Auth1CAName: CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz | ||
- | Auth1CertMapping: No | ||
- | Auth1ExcludeCAName: No | ||
- | Auth1CertType: Root | ||
- | Auth1HealthCert: No | ||
- | Auth1CAName: DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root | ||
- | Auth1CertMapping: No | ||
- | Auth1ExcludeCAName: No | ||
- | Auth1CertType: Intermediate | ||
- | Auth1HealthCert: No | ||
- | SecMethods: DHGroup2-3DES-SHA1 | ||
- | ForceDH: No | ||
- | KeyLifetime: 1440min,0sess | ||
- | Ok. | ||
- | |||
- | C:\Windows\system32>netsh advfirewall consec show rule all | ||
- | Rule Name: radius1.eduroam.cz | ||
- | ---------------------------------------------------------------------- | ||
- | Enabled: Yes | ||
- | Profiles: Domain,Private,Public | ||
- | Type: Static | ||
- | Mode: Transport | ||
- | Endpoint1: xx.xx.xx.xx/32 | ||
- | Endpoint2: 195.113.187.22/32 | ||
- | Protocol: Any | ||
- | Action: RequireInRequireOut | ||
- | Auth1: ComputerKerb | ||
- | MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 | ||
- | QuickModeSecMethods: ESP:SHA1-3DES+841min+2147483647kb | ||
- | ApplyAuthorization: No | ||
- | Ok. | ||
- | </code> | ||
- | |||
- | Případné smazání pravidel: | ||
- | <code> | ||
- | C:\Windows\system32>netsh advfirewall mainmode delete rule all | ||
- | Deleted 1 rule(s). | ||
- | Ok. | ||
- | |||
- | C:\Windows\system32>netsh advfirewall consec delete rule all | ||
- | Deleted 1 rule(s). | ||
- | Ok. | ||
- | </code> | ||
- | |||
- | Dokumentace ke [[https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771920(v%3dws.10)|konfigurování Windows Firewallu pomocí netsh]], je na stránkách Microsoftu. | ||
- | |||
- | ===== Propingávání ===== | ||
- | |||
- | IPsec tunel se sestavuje jednotky až desítky vteřin, takže je s ohledem na rychlost ověření uživatelů v hodné udržovat tunel aktivní. K tomu lze použít příkaz ''ping -n 3 radius1.eduroam.cz'' naplánovaný na každých 15min pomocí Task Scheduleru. | ||
- | |||
- | ===== Ladění ===== | ||
- | |||
- | Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování: | ||
- | * ''Audit IPSec Extended Mode'' | ||
- | * ''Audit IPSec Main Mode'' | ||
- | * ''Audit IPSec Quick Mode'' | ||
- | viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}. | ||
- | |||
- | Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Audit IPsec Driver''. Viz {{:cs:spravce:pripojovani:ipsec:localgrouppolicyeditor.png?linkonly|screenshot}}. | ||
- | |||
- | Logy samotné jsou pak k dispozici v ''Event Viewer'' v ''Windows Logs''->''Security'', viz {{ :cs:spravce:pripojovani:ipsec:eventviewer.png?linkonly|screenshot}}. |