cs:spravce:pripojovani:radius:nps:ipsec

Konfigurace IPsec

IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci.

Pokud již máte naimportované potřebné certifikáty a máte jistotu, že máte správně nastavený Firewall, můžete pokračovat ke konfiguraci IPsecu.

Konfigurace IPsecu se skládá ze dvou pravidel consec a mainmode.

1. consec pravidlo

$ netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+TTTmin

Hodnotu X.X.X.X parametru endpoint1 nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu TTT parametru qmsecmethods nahraďte hodnotou Doba platnosti SA. Hodnotu Doba platnosti SA máte již předpočítanou v administrativní aplikaci u vašeho RADIUSu.

Výpis pravidla

$ netsh advfirewall consec show rule all

Smazání pravidla

$ netsh advfirewall consec delete rule name="radius1.eduroam.cz"


2. mainmode pravidlo

eduroam CA + CESNET Root

Pokud na vašem serveru používáte certifkát od eduroam CA použijte toto pravidlo:

$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"

Pro TCS

Comodo + CESNET Root

$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=GB, S=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"

DigiCert + CESNET Root

$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"

Výpis pravidla

$ netsh advfirewall mainmode show rule all

Smazání pravidla

$ netsh advfirewall mainmode delete rule name="radius1.eduroam.cz"

Jiný certifikát

Pokud použijete jiný certifikát než TCS nebo eduroam CA, odvoďte změnu parametru auth1ca u pravidla mainmode. Pozor ale, pořadí rozlišovacích jmen (Distinguished Name). Pořadí použité u parametru auth1ca je opačné oproti pořadí při výpisu certifikátů pomocí příkazu CertUtil.


Otestování spojení

Jednoduše otestujte spojení pingem na radius1.eduroam.cz.

$ ping radius1.eduroam.cz


Ladění

Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí Local Group Policy Editor v Local Computer PolicyComputer ConfigurationWindows SettingsSecurity SettingsAdvanced Audit PolicySystem Audit PoliciesSystemLogon/Logoff a tam je potřeba zapnout logování:

  • Audit IPSec Extended Mode
  • Audit IPSec Main Mode
  • Audit IPSec Quick Mode

viz screenshot.

Případně je také možné zapnout auditování IPsec driveru, opět pomocí Local Group Policy Editor v Local Computer PolicyComputer ConfigurationWindows SettingsSecurity SettingsAdvanced Audit PolicySystem Audit PoliciesSystemAudit IPsec Driver. Viz screenshot.

Logy samotné jsou pak k dispozici v Event Viewer v Windows LogsSecurity, viz screenshot.



Zpět na Microsoft Network Policy Server pro eduroam

Last modified:: 2021/03/24 11:07