cs:spravce:pripojovani:ipsec:windows2016s

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
cs:spravce:pripojovani:ipsec:windows2016s [2020/01/02 16:19]
Jan Tomášek CESNET CA 4 => CESNET Root verime koreni
cs:spravce:pripojovani:ipsec:windows2016s [2020/01/02 17:14] (current)
Jan Čáslavský Sjednoceni navodu
Line 1: Line 1:
 ====== Konfigurace IPsec na Windows Server 2016 ====== ====== Konfigurace IPsec na Windows Server 2016 ======
  
-===== Certifikáty =====+Lze postupovat podle aktuálního [[cs:​spravce:​pripojovani:​radius:​nps:​ipsec|návodu]] (WS 2019).
  
-Před konfigurací ​IPsec musíte získat ​[[https://​www.eduroam.cz/​cs/spravce/pripojovani/​serverove_certifikaty|certifikát]] pro váš server, návod předpokládá použití ​[[https://​www.eduroam.cz/​cs/spravce/pripojovani/eduroamca|eduroam CA]]. +Nejprve před konfigurací ​IPSecu je však nutné provést prerekvizity ​[[cs:spravce:pripojovani:​radius:​nps:​firewall|Nastavení Firewall]] [[cs:spravce:pripojovani:​radius:​nps:​certificates|Instalace certifikátů]].
  
-Nainstalujte certifikáty CESNET Root a CESNET CA 4 a certifikát serveru podle [[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/​ipsec/​windows2003s#​instalace_certifikatu|návodu pro Win 2003]]. 
- 
-===== Konfigurace ===== 
- 
-Konfiguraci IPsec provedete v shellu spuštěném s právy administrátora pomocí příkazů: 
-<WRAP prewrap><​code>​ 
-C:​\Windows\system32>​netsh advfirewall mainmode add rule name="​radius1.eduroam.cz"​ endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 mmsecmethods=dhgroup2:​3des-sha1 mmkeylifetime=1440min,​0sess auth1=computercert auth1ca="​CN=eduroam CA, O=CESNET CA, DC=cesnet-ca,​ DC=cz catype:Root | DC=cz, DC=cesnet-ca,​ O=CESNET CA, CN=CESNET CA Root  catype:​Intermediate"​ 
-Ok. 
- 
-C:​\Windows\system32>​netsh advfirewall consec add rule name="​radius1.eduroam.cz"​ endpoint1=xx.xx.xx.xx endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:​SHA1-3DES+841min+2147483647kb 
-Ok. 
-</​code></​WRAP>​ 
- 
-Hodnotu ''​xx.xx.xx.xx''​ parametru endpoint1 musíte nahradit veřejnou IPv4 adresou vašeho serveru. Čas 841min představuje dobu [[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/​ipsec/​uvod#​doba_platnosti_sa|platnosti SA]] máte ji předpočítanou v CESNET CAAS, jen ji musíte převést z vteřin. Operace '​add'​ vždy pravidlo přidá, pokud budete muset parametry měnit můsíte předchozí smazat, viz níže v tomto návodu. 
- 
-Kontrola nastavených parametrů IPsec se provede: 
- 
-<​code>​ 
-C:​\Windows\system32>​netsh advfirewall mainmode show rule all 
-Rule Name:                            radius1.eduroam.cz 
----------------------------------------------------------------------- 
-Enabled: ​                             Yes 
-Profiles: ​                            ​Domain,​Private,​Public 
-Endpoint1: ​                           xx.xx.xx.xx/​32 
-Endpoint2: ​                           195.113.187.22/​32 
-Auth1: ​                               ComputerCert,​ComputerCert 
-Auth1CAName: ​                         CN=eduroam CA, O=CESNET CA, DC=cesnet-ca,​ DC=cz 
-Auth1CertMapping: ​                    No 
-Auth1ExcludeCAName: ​                  No 
-Auth1CertType: ​                       Root 
-Auth1HealthCert: ​                     No 
-Auth1CAName: ​                         DC=cz, DC=cesnet-ca,​ O=CESNET CA, CN=CESNET CA Root 
-Auth1CertMapping: ​                    No 
-Auth1ExcludeCAName: ​                  No 
-Auth1CertType: ​                       Intermediate 
-Auth1HealthCert: ​                     No 
-SecMethods: ​                          ​DHGroup2-3DES-SHA1 
-ForceDH: ​                             No 
-KeyLifetime: ​                         1440min,​0sess 
-Ok. 
- 
-C:​\Windows\system32>​netsh advfirewall consec show rule all 
-Rule Name:                            radius1.eduroam.cz 
----------------------------------------------------------------------- 
-Enabled: ​                             Yes 
-Profiles: ​                            ​Domain,​Private,​Public 
-Type:                                 ​Static 
-Mode:                                 ​Transport 
-Endpoint1: ​                           xx.xx.xx.xx/​32 
-Endpoint2: ​                           195.113.187.22/​32 
-Protocol: ​                            Any 
-Action: ​                              ​RequireInRequireOut 
-Auth1: ​                               ComputerKerb 
-MainModeSecMethods: ​                  ​DHGroup2-AES128-SHA1,​DHGroup2-3DES-SHA1 
-QuickModeSecMethods: ​                 ESP:​SHA1-3DES+841min+2147483647kb 
-ApplyAuthorization: ​                  No 
-Ok. 
-</​code>​ 
- 
-Případné smazání pravidel: 
-<​code>​ 
-C:​\Windows\system32>​netsh advfirewall mainmode delete rule all 
-Deleted 1 rule(s). 
-Ok. 
- 
-C:​\Windows\system32>​netsh advfirewall consec delete rule all 
-Deleted 1 rule(s). 
-Ok. 
-</​code>​ 
- 
-Dokumentace ke [[https://​docs.microsoft.com/​en-us/​previous-versions/​windows/​it-pro/​windows-server-2008-R2-and-2008/​cc771920(v%3dws.10)|konfigurování Windows Firewallu pomocí netsh]], je na stránkách Microsoftu. 
- 
-===== Propingávání ===== 
- 
-IPsec tunel se sestavuje jednotky až desítky vteřin, takže je s ohledem na rychlost ověření uživatelů v hodné udržovat tunel aktivní. K tomu lze použít příkaz ''​ping -n 3 radius1.eduroam.cz''​ naplánovaný na každých 15min pomocí Task Scheduleru. 
- 
-===== Ladění ===== 
- 
-Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''​Local Group Policy Editor''​ v ''​Local Computer Policy''​ -> ''​Computer Configuration''​ -> ''​Windows Settings''​ -> ''​Security Settings''​ -> ''​Advanced Audit Policy''​ -> ''​System Audit Policies''​ -> ''​System''​ -> ''​Logon/​Logoff''​ a tam je potřeba zapnout logování: 
-  * ''​Audit IPSec Extended Mode''​ 
-  * ''​Audit IPSec Main Mode''​ 
-  * ''​Audit IPSec Quick Mode''​ 
-viz {{ :​cs:​spravce:​pripojovani:​ipsec:​localgrouppolicyeditor2.png?​linkonly|screenshot}}. 
- 
-Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''​Local Group Policy Editor''​ v ''​Local Computer Policy''​ -> ''​Computer Configuration''​ -> ''​Windows Settings''​ -> ''​Security Settings''​ -> ''​Advanced Audit Policy''​ -> ''​System Audit Policies''​ -> ''​System''​ -> ''​Audit IPsec Driver''​. Viz {{:​cs:​spravce:​pripojovani:​ipsec:​localgrouppolicyeditor.png?​linkonly|screenshot}}. 
- 
-Logy samotné jsou pak k dispozici v ''​Event Viewer''​ v ''​Windows Logs''​->''​Security'',​ viz {{ :​cs:​spravce:​pripojovani:​ipsec:​eventviewer.png?​linkonly|screenshot}}. 
Last modified:: 2020/01/02 17:14