Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:pripojovani:radius:nps:ipsec [2020/01/02 16:09] – Pridani sekce ladeni 239a8d2a8a211996c346195d534ad6f1ab7222b3@einfra.cesnet.czcs:spravce:pripojovani:radius:nps:ipsec [2024/05/17 08:07] (aktuální) – odstraněno Jan Čáslavský
Řádek 1: Řádek 1:
-====== Konfigurace IPsec ====== 
- 
-IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci. 
- 
-Pokud již máte naimportované potřebné certifikáty a máte jistotu, že máte správně nastavený Firewall, můžete pokračovat ke konfiguraci IPsecu. 
- 
-Konfigurace IPsecu se skládá ze dvou pravidel ''consec'' a ''mainmode''. 
- 
-===== 1. consec pravidlo ===== 
- 
-<WRAP prewrap><code>$ netsh advfirewall consec add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 action=RequireInRequireOut qmpfs=dhgroup2 qmsecmethods=ESP:SHA1-3DES+TTTmin</code></WRAP> 
- 
-Hodnotu **X.X.X.X** parametru ''endpoint1'' nahraďte veřejnou IPv4 adresou vašeho serveru. Hodnotu **TTT** parametru ''qmsecmethods'' nahraďte hodnotou ''Inf. RADIUS1 SA lifetime'' převedenou z vteřin (zaokrohlenou) na minuty. Hodnotu ''Inf. RADIUS1 SA lifetime'' máte ji předpočítanou v CESNET CAAS u vašeho RADIUSu. 
- 
-==== Výpis pravidla ==== 
- 
-<WRAP prewrap><code>$ netsh advfirewall consec show rule all</code></WRAP> 
- 
-==== Smazání pravidla ==== 
- 
-<WRAP prewrap><code>$ netsh advfirewall consec delete rule name="radius1.eduroam.cz"</code></WRAP> 
- 
-\\ 
- 
-===== 2. mainmode pravidlo ===== 
- 
-==== eduroam CA + CESNET Root ==== 
- 
-Pokud na vašem serveru používáte certifkát od [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|eduroam CA]] použijte toto pravidlo: 
- 
-<WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="CN=eduroam CA, O=CESNET CA, DC=cesnet-ca, DC=cz catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"</code></WRAP> 
- 
- 
-==== Pro TCS ==== 
- 
-=== DigiCert + CESNET Root === 
-<WRAP prewrap><code>$ netsh advfirewall mainmode add rule name="radius1.eduroam.cz" endpoint1=X.X.X.X endpoint2=195.113.187.22 mmsecmethods=dhgroup2:3des-sha1 mmkeylifetime=1440min,0sess auth1=computercert auth1ca="C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA catype:Root | DC=cz, DC=cesnet-ca, O=CESNET CA, CN=CESNET CA Root catype:Intermediate"</code></WRAP> 
- 
-==== Výpis pravidla ==== 
- 
-<WRAP prewrap><code>$ netsh advfirewall mainmode show rule all</code></WRAP> 
- 
-==== Smazání pravidla ==== 
- 
-<WRAP prewrap><code>$ netsh advfirewall mainmode delete rule name="radius1.eduroam.cz"</code></WRAP> 
- 
-==== Jiný certifikát ==== 
- 
-Pokud použijete jiný certifikát než TCS nebo eduroam CA, odvoďte změnu parametru ''auth1ca'' u pravidla mainmode. Pozor ale, pořadí rozlišovacích jmen (Distinguished Name). Pořadí použité u parametru ''auth1ca'' je opačné oproti pořadí při výpisu certifikátů pomocí příkazu CertUtil. 
- 
-\\ 
- 
-===== Otestování spojení ===== 
- 
-Jednoduše otestujte spojení pingem na ''radius1.eduroam.cz''. 
- 
-<WRAP prewrap><code>$ ping radius1.eduroam.cz</code></WRAP> 
- 
-\\ 
- 
-===== Ladění ===== 
- 
-Nejprve je třeba zapnout auditování sestavování IPSec spojení, to se dělá pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Logon/Logoff'' a tam je potřeba zapnout logování: 
-  * ''Audit IPSec Extended Mode'' 
-  * ''Audit IPSec Main Mode'' 
-  * ''Audit IPSec Quick Mode'' 
-viz {{ :cs:spravce:pripojovani:ipsec:localgrouppolicyeditor2.png?linkonly|screenshot}}. 
- 
-Případně je také možné zapnout auditování IPsec driveru, opět pomocí ''Local Group Policy Editor'' v ''Local Computer Policy'' -> ''Computer Configuration'' -> ''Windows Settings'' -> ''Security Settings'' -> ''Advanced Audit Policy'' -> ''System Audit Policies'' -> ''System'' -> ''Audit IPsec Driver''. Viz {{:cs:spravce:pripojovani:ipsec:localgrouppolicyeditor.png?linkonly|screenshot}}. 
- 
-Logy samotné jsou pak k dispozici v ''Event Viewer'' v ''Windows Logs''->''Security'', viz {{ :cs:spravce:pripojovani:ipsec:eventviewer.png?linkonly|screenshot}}. 
- 
-\\ 
- 
------ 
- 
-Zpět na [[cs:spravce:pripojovani:radius:nps]]