cs:spravce:pripojovani:radius:nps:ipsec

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
Následující verze Obě strany příští revize
cs:spravce:pripojovani:radius:nps:ipsec [2019/10/26 12:01]
jan.tomasek@cesnet.cz
cs:spravce:pripojovani:radius:nps:ipsec [2020/04/08 09:52]
caslavsky@cesnet.cz [1. consec pravidlo]
Řádek 11: Řádek 11:
 <WRAP prewrap><​code>​$ netsh advfirewall consec add rule name="​radius1.eduroam.cz"​ endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:​SHA1-3DES+TTTmin</​code></​WRAP>​ <WRAP prewrap><​code>​$ netsh advfirewall consec add rule name="​radius1.eduroam.cz"​ endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:​SHA1-3DES+TTTmin</​code></​WRAP>​
  
-Hodnotu **X.X.X.X** parametru ''​endpoint1''​ nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu **TTT** parametru ''​qmsecmethods''​ nahraďte hodnotou ''​Inf. RADIUS1 ​SA lifetime'' ​převedenou z vteřin (zaokrohlenou) na minuty. Hodnotu ''​Inf. RADIUS1 ​SA lifetime''​ máte ji předpočítanou v CESNET CAAS u vašeho RADIUSu.+Hodnotu **X.X.X.X** parametru ''​endpoint1''​ nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu **TTT** parametru ''​qmsecmethods''​ nahraďte hodnotou ''​Doba platnosti ​SA''​. Hodnotu ''​Doba platnosti ​SA''​ máte již předpočítanou v [[https://​admin.eduroam.cz|administrativní aplikaci]] ​u vašeho RADIUSu.
  
 ==== Výpis pravidla ==== ==== Výpis pravidla ====
Řádek 56: Řádek 56:
  
 <WRAP prewrap><​code>​$ ping radius1.eduroam.cz</​code></​WRAP>​ <WRAP prewrap><​code>​$ ping radius1.eduroam.cz</​code></​WRAP>​
 +
 +\\
 +
 +===== Ladění =====
 +
 +Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''​Local Group Policy Editor''​ v ''​Local Computer Policy''​ -> ''​Computer Configuration''​ -> ''​Windows Settings''​ -> ''​Security Settings''​ -> ''​Advanced Audit Policy''​ -> ''​System Audit Policies''​ -> ''​System''​ -> ''​Logon/​Logoff''​ a tam je potřeba zapnout logování:
 +  * ''​Audit IPSec Extended Mode''​
 +  * ''​Audit IPSec Main Mode''​
 +  * ''​Audit IPSec Quick Mode''​
 +viz {{ :​cs:​spravce:​pripojovani:​ipsec:​localgrouppolicyeditor2.png?​linkonly|screenshot}}.
 +
 +Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''​Local Group Policy Editor''​ v ''​Local Computer Policy''​ -> ''​Computer Configuration''​ -> ''​Windows Settings''​ -> ''​Security Settings''​ -> ''​Advanced Audit Policy''​ -> ''​System Audit Policies''​ -> ''​System''​ -> ''​Audit IPsec Driver''​. Viz {{:​cs:​spravce:​pripojovani:​ipsec:​localgrouppolicyeditor.png?​linkonly|screenshot}}.
 +
 +Logy samotné jsou pak k dispozici v ''​Event Viewer''​ v ''​Windows Logs''​->''​Security'',​ viz {{ :​cs:​spravce:​pripojovani:​ipsec:​eventviewer.png?​linkonly|screenshot}}.
  
 \\ \\
Poslední úprava:: 2024/01/18 13:25