Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:nps:ipsec [2019/10/26 11:59] jan.tomasek@cesnet.cz [Pro eduroam CA] |
cs:spravce:pripojovani:radius:nps:ipsec [2020/04/08 09:52] caslavsky@cesnet.cz [1. consec pravidlo] |
||
---|---|---|---|
Řádek 11: | Řádek 11: | ||
<WRAP prewrap><code>$ netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+TTTmin</code></WRAP> | <WRAP prewrap><code>$ netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+TTTmin</code></WRAP> | ||
- | Hodnotu **X.X.X.X** parametru ''endpoint1'' nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu **TTT** parametru ''qmsecmethods'' nahraďte hodnotou ''Inf. RADIUS1 SA lifetime'' převedenou z vteřin (zaokrohlenou) na minuty. Hodnotu ''Inf. RADIUS1 SA lifetime'' máte ji předpočítanou v CESNET CAAS u vašeho RADIUSu. | + | Hodnotu **X.X.X.X** parametru ''endpoint1'' nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu **TTT** parametru ''qmsecmethods'' nahraďte hodnotou ''Doba platnosti SA''. Hodnotu ''Doba platnosti SA'' máte již předpočítanou v [[https://admin.eduroam.cz|administrativní aplikaci]] u vašeho RADIUSu. |
==== Výpis pravidla ==== | ==== Výpis pravidla ==== | ||
Řádek 25: | Řádek 25: | ||
===== 2. mainmode pravidlo ===== | ===== 2. mainmode pravidlo ===== | ||
- | ==== Pro eduroam CA ==== | + | ==== eduroam CA + CESNET Root ==== |
- | === eduroam CA + CESNET Root === | + | Pokud na vašem serveru používáte certifkát od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]] použijte toto pravidlo: |
<WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"</code></WRAP> | <WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"</code></WRAP> | ||
Řádek 36: | Řádek 36: | ||
=== DigiCert + CESNET Root === | === DigiCert + CESNET Root === | ||
<WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"</code></WRAP> | <WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"</code></WRAP> | ||
- | |||
- | nebo | ||
- | |||
- | === DigiCert + CESNET CA 3 === | ||
- | |||
- | <wrap hi>Nedoporučujeme použití této varaianty.</wrap> | ||
- | |||
- | <WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA 3 catype:Intermediate"</code></WRAP> | ||
- | |||
- | Hodnotu **X.X.X.X** parametru ''endpoint1'' nahraďte veřejnou IPv4 adresou vašeho serveru. | ||
==== Výpis pravidla ==== | ==== Výpis pravidla ==== | ||
Řádek 66: | Řádek 56: | ||
<WRAP prewrap><code>$ ping radius1.eduroam.cz</code></WRAP> | <WRAP prewrap><code>$ ping radius1.eduroam.cz</code></WRAP> | ||
+ | |||
+ | \\ | ||
+ | |||
+ | ===== Ladění ===== | ||
+ | |||
+ | Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování: | ||
+ | * ''Audit IPSec Extended Mode'' | ||
+ | * ''Audit IPSec Main Mode'' | ||
+ | * ''Audit IPSec Quick Mode'' | ||
+ | viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}. | ||
+ | |||
+ | Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Audit IPsec Driver''. Viz {{:cs:spravce:pripojovani:ipsec:localgrouppolicyeditor.png?linkonly|screenshot}}. | ||
+ | |||
+ | Logy samotné jsou pak k dispozici v ''Event Viewer'' v ''Windows Logs''->''Security'', viz {{ :cs:spravce:pripojovani:ipsec:eventviewer.png?linkonly|screenshot}}. | ||
\\ | \\ |