IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci.
Pokud již máte naimportované potřebné certifikáty a máte jistotu, že máte správně nastavený Firewall, můžete pokračovat ke konfiguraci IPsecu.
Konfigurace IPsecu se skládá ze dvou pravidel consec
a mainmode
.
$ netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+TTTmin
Hodnotu X.X.X.X parametru endpoint1
nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu TTT parametru qmsecmethods
nahraďte hodnotou Doba platnosti SA
. Hodnotu Doba platnosti SA
máte již předpočítanou v administrativní aplikaci u vašeho RADIUSu.
$ netsh advfirewall consec show rule all
$ netsh advfirewall consec delete rule name="radius1.eduroam.cz"
Pokud na vašem serveru používáte certifkát od eduroam CA 2 použijte toto pravidlo:
$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="DC=cz, DC=cesnet-ca, O=CESNET CA, CN=eduroam CA 2 catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"
Pozor! Původní tvar pravidla mainmode v kombinaci s první verzí eduroam CA měl odlišný/opačný zápis Root certifikátu. V původní variantě bylo: auth1ca=„CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root |…“
$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, S=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"
$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"
$ netsh advfirewall mainmode show rule all
$ netsh advfirewall mainmode delete rule name="radius1.eduroam.cz"
Pokud použijete jiný certifikát než TCS nebo eduroam CA 2, odvoďte změnu parametru auth1ca
u pravidla mainmode. Pozor ale, pořadí rozlišovacích jmen (Distinguished Name). Pořadí použité u parametru auth1ca
je opačné oproti pořadí při výpisu certifikátů pomocí příkazu CertUtil.
Jednoduše otestujte spojení pingem na radius1.eduroam.cz
.
$ ping radius1.eduroam.cz
Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí Local Group Policy Editor
v Local Computer Policy
→ Computer Configuration
→ Windows Settings
→ Security Settings
→ Advanced Audit Policy
→ System Audit Policies
→ System
→ Logon/Logoff
a tam je potřeba zapnout logování:
Audit IPSec Extended Mode
Audit IPSec Main Mode
Audit IPSec Quick Mode
viz screenshot.
Případně je také možné zapnout auditování IPsec driveru, opět pomocí Local Group Policy Editor
v Local Computer Policy
→ Computer Configuration
→ Windows Settings
→ Security Settings
→ Advanced Audit Policy
→ System Audit Policies
→ System
→ Audit IPsec Driver
. Viz screenshot.
Logy samotné jsou pak k dispozici v Event Viewer
v Windows Logs
→Security
, viz screenshot.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz