Toto je starší verze dokumentu!
IPsec se používá k šifrování RADIUS komunikace za účelem ochrany uživatelských údajů přenášených v této komunikaci. K dispozici je detailní návod pro MS Windows 2003 Server a pro MS Windows 2008 Server.
Než budete spojení konfigurovat, musíte se domluvit se správcem národních RADIUS serverů, aby upravil jejich konfiguraci a umožnil Vám připojení.
Připojení pomocí IPsec možné pouze pro ty instituce, které provozují MS Windows. Ostatním doporučujeme použití RadSec, který je podstatně snazší na implementaci.
Na FW musí být povolen UDP port 500, který používá IKE protokol, dále je nutné povolit protokol ESP. Jestliže je defaultní politika FW „deny“ (ignorování komunikace na nepovolené porty), tak je ještě rozumné nastavit „reject“ (odpovídat ICMP zprávou o nedosažitelnosti služby) pro UDP port 4500, který je využíván NAT-T.
Národní RADIUS server pravidelně pingem zjištuje funkčnost IPsec spojení, proto je také nutné povolit ICMP echo request na FW. Jestliže používáte nějakou ochranu omezující množství vyřízených požadavků, tak ji pro národní servery deaktivujte, jinak mohou být měření dostupnosti zkreslená. Servery posílají každých 15sec 3 pakety o velikost 512B.
IPsec je používán v transportním režimu za použití ESP, AH se nepoužívá. Národní RADIUS nepodporuje NAT-T, IPsec institutce musí být ukončen na veřejné adrese.
Doba platnosti SA je pro každou dvojici serverů různá. Důvodem je, aby nedocházelo k expiraci SA ve stejný okamžik, a tím byla dostupnost služby co nejvyšší. Vypočte se podle vztahu:
18*60*60 - 11*ip1[3] - 17*ip1[2] - 20*ip1[1] - 19*ip1[0] - 7*ip2[3] - 5*ip2[2] - 3*ip2[1] - 9*ip2[0]
kde:
ip1 - je pole oktetů IP adresy radius serveru organizace, nejvyší byte je v buňce č. 0
ip2 - je pole -„- IP adresy národního RADIUS serveru
Např: pro komunikaci radius1.cesnet.cz ⇔ radius1.eduroam.cz je správná hodnota: 18*60*60 - 11*226 - 17*144 - 20*113 - 19*195 - 7*22 - 5*187 - 3*113 - 9*195 = 50718, tedy zhruba 14 hodin.
Vzorec je zde uveden jen pro úplnost, správnou hodnotu najdete v webovém rozhraní CESNET CAAS (po přihlášení).
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz