Na FW musí být povolen protokol ESP. Jestliže je defaultní politika FW „deny“ (ignorování komunikace na nepovolené porty), tak je ještě rozumné nastavit „reject“ (odpovídat ICMP zprávou o nedosažitelnosti služby) pro UDP port 4500, který je využíván NAT-T. NPS ověřuje požadavky na UDP portu 1812.
Národní RADIUS server pravidelně pingem zjištuje funkčnost IPsec spojení, proto je také nutné povolit ICMP echo request na FW. Jestliže používáte nějakou ochranu omezující množství vyřízených požadavků, tak ji pro národní servery deaktivujte, jinak mohou být měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety o velikost 512B.
Ermon testuje RADIUS a proto je zapotřebí pro něj povolit ICMP echo request a IPv4 protokol.
Je třeba vzít v potaz existující pravidla ve vašem Firewallu, nesmí dojít ke kolizi pravidel.
Směrem k vašemu RADIUS serveru (Inbound Rules) je třeba zajistit povolení následujících pravidel:
$ netsh advfirewall firewall add rule name="eduroam allow in radius1 ICMP" dir=in action=allow protocol=icmpv4:any,any remoteip=195.113.187.22
$ netsh advfirewall firewall add rule name="eduroam allow in radius1 UDP port-1812" dir=in action=allow protocol=udp localport=1812 remoteip=195.113.187.22
$ netsh advfirewall firewall add rule name="eduroam allow in radius1 ESP" dir=in action=allow protocol=50 remoteip=195.113.187.22
$ netsh advfirewall firewall add rule name="eduroam allow in ermon ICMP" dir=in action=allow protocol=icmpv4:any,any remoteip=195.113.233.246
$ netsh advfirewall firewall add rule name="eduroam allow in ermon UDP port-1812" dir=in action=allow protocol=udp localport=1812 remoteip=195.113.233.246
$ netsh advfirewall firewall add rule name="eduroam allow in ermon IPv4" dir=in action=allow protocol=4 remoteip=195.113.233.246
$ netsh advfirewall firewall add rule name="eduroam allow in ap UDP port-1812" dir=in action=allow protocol=udp localport=1812 localip=X.X.X.X
Kde X.X.X.X nahraďte IPv4 adresou vašeho controlleru pro AP.
Směrem od vašeho RADIUS serveru (Outbound Rules) je třeba zajistit povolení následujících pravidel:
$ netsh advfirewall firewall add rule name="eduroam allow out radius1 IPv4" dir=out action=allow protocol=4 remoteip=195.113.187.22
$ netsh advfirewall firewall add rule name="eduroam allow out radius1 ESP" dir=out action=allow protocol=50 remoteip=195.113.187.22
$ netsh advfirewall firewall add rule name="eduroam allow out ermon ICMP" dir=out action=allow protocol=icmpv4:any,any remoteip=195.113.233.246
$ netsh advfirewall firewall add rule name="eduroam allow out ermon IPv4" dir=out action=allow protocol=4 remoteip=195.113.233.246
$ netsh advfirewall firewall add rule name="eduroam allow out ermon UDP port-1812" dir=out action=allow protocol=udp localport=1812 remoteip=195.113.233.246
$ netsh advfirewall firewall delete rule name="Název pravidla"
$ netsh advfirewall firewall show rule name=all | select-string -pattern "eduroam"
Selektujeme na základě obsahu slova eduroam v názvu pravidla.
CESNET, z. s. p. o.
Generála Píky 26, 160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz
