撮影日:2021/10/02
撮影場所:山口県下松市 下松スポーツ公園
午前中に健康診断を終わらせて、天気が良かったので昼から下松のスポーツ公園まで足を伸ばしてコスモスを見てきた
秋にしては日差しがまだ強く暑い時期ではあるものの、空もきれいでコスモスの色も栄えていた
とは言え、ずっと日向も暑いので木陰で休みながら、暗い中佇むコスモスもいくつか撮影
高さもまばらでまだ7割程だったが、軽く散歩しながら楽しむには十分咲いていたかな
2021年10月11日月曜日
2020年9月22日火曜日
XG Firewallからのメール通知設定
WAN側をIPoEに設定してからメール通知の設定をやり直してなかったので、改めて設定をやり直した
ログイン後【管理】>【通知の設定】
送信用メールはさくらのメールボックスで専用に作成したものを利用するので【外部メールサーバ】を選ぶ
■メールサーバ設定
メールサーバ: mail.***.***
ポート: 587
認証の要求: チェック有
ユーザ名: ***@****.***
パスワード: *****
接続のセキュリティ: STARTTLS
証明書: ApplianceCertificate
■メールの設定
送信元メール: ***@***.***(上記で設定したアカウントのメールアドレス)
メールアドレスに通知を送信: ***@***.***(送信先のメールアドレス
管理インターフェースのIPアドレス: PortC- (WAN側のインターフェース)
送信する通知の種類は以下から設定する
【システムサービス】>【通知リスト】
SNMPトラップの種類も選べるが、Zabbix側は標準MIBしか見ていないので今回は無視する
通知の欄からメール通信したいアクションを選んでチェックを付けるだけ
今回は送信先として普段活用していないMicrosoftのlive.jpのメールアドレスに送ることにしたが、本文が英語ベースのため迷惑メールに振り分けられてしまったので、それの解除やメール受信ルールの作成などの方が面倒だった
これで通知が多いようであれば不要と思われるアクションを解除しながら様子を見よう
2020年7月26日日曜日
iPhoneでのSSLインスペクション有効化
会社貸与のiPhone8(iOS13.6)を自宅のWi-Fiに繋げるのに、ついでだからとSSLインスペクションを有効にしているNWへ追加することにした
以下サイトを確認すると、iOSでSSLインスペクションを利用する場合は除外リストに追加した上でプロキシを経由するようにと記載があるので、Wi-Fi接続以外の設定を追加して行う
別端末でXG Firewallから証明書をダウンロードして、クラウドサービスを利用してiPhoneへ証明書を転送しておく
該当の証明書はXG Firewallの【システム】>【証明書】ページの【認証局(CA)】タブを開いて【SecurityAppliance_SSL_CA】のダウンロードボタンを押して別端末でダウンロードした
■iPhone端末設定
iPhoneの設定画面を開いて【一般】>【プロファイルとデバイス管理】からダウンロードした証明書をインストールする
インストールが完了したら【一般】>【情報】>【証明書信頼設定】を開いてインストールした証明書を有効化する
接続しているWi-Fiの右側のマークをタップしてHTTPプロキシの設定を追加する
プロキシのIPはDefault GWと同じ値、ポートはXG Firewallの初期値は【3128】なのでそのまま設定する
ローカル端末へはアクセスさせないので除外リストは空白にした
ユーザ認証は必要であればXG Firewall側でユーザを作成してPW設定したものを入れればいいか
■XG Firewall追加設定
Appleのサイトで指定されているものをHTTPS復号化の除外リストとして登録する
XG Firewallにログインして【保護】>【Web】ページの【例外】タブを開いてルールを【追加】する
上記URLに記載の【デバイスの設定】、【デバイス管理】、【ソフトウェア・アップデート】、【App Store】、【証明書の検証】からiOSが該当するURLを追加していく
【*.】となっているものはそのままではXG Firewallに登録できないので【^[A-Za-z0-9.-]*.】に置き換える
設定が完了したら適当なページ等を開いて正常性を確認する
App Storeやその他アプリも一応開いて異常がないかを確認して完了
2020年5月26日火曜日
Zabbix 5.0 へのsnmpホスト登録(標準MIBのみ)
Zabbixが構築できたので自宅のNW機器を登録していく
厳密に管理するわけではないので、MIBは【標準MIB】のみで【Read Only】、community nameは【public】で統一して設定する
設定対象は以下の4機種
NGFW:Sophos XG Firewall Home Edition(ESXi上)
FW: Deciso OPNsense(ESXi上)
L2SW: Netgear GS310TP
無線AP:Netgear WAC505-10000S
ESXiは少しコマンド打つ必要があるのでまた別の機会に回す
■Sophos XG Firewall Home Edition
ログインしたら【システム】>【管理】>【SNMP】から以下の設定を行う
有効化してしまえば後の値は適当でいい
【SNMPエージェントを有効化する】のチェックを入れる
【名前】任意
【位置情報】任意
【連絡担当者】任意
【マネージャポート】162(初期値)
次に画面下の【コミュニティ】を設定するため【追加】を押して設定画面へ移る
【名前】public #community name
【IPアドレス】192.168.1.10 #Zabbixサーバ
【プロトコルバージョン】v2c
【トラップサポート】v2c
■Deciso OPNsense
初期設定ではsnmpが有効ではなくpingも通らないため、その設定も併せて行う
ログインしたら【システム】>【ファームウェア】>【プラグイン】から【os-net-snmp】をインストールする
右側の【+】でインストールしたら再度ログインし直して有効化
次に【サービス】>【Net-SNMP】からsnmpの設定を行う
【Enable SNMP Service】チェックを入れる
【SNMP Community】public #community name
【SNMP Location】任意
【Layer 3 Visibility】チェックを入れる
Zabbixサーバと疎通できるようにFWルールを追加する
【ファイアウォール】>【ルール】>【フローティング】にて
【送信元】LANネット
【送信先】このファイアウォール
としてICMPとUDP161(SNMP)の許可ルールを設定する
最初はLAN側に設定してうまくいかなかったが、フローティング側に設定するんだったのか
■Netgear GS310TP
ログインしたら【システム】>【SNMP】>【SNMPv1/v2】>【コミュニティ設定】から以下の設定を行う
【管理ステーションIP】192.168.1.10 #Zabbixサーバ
【管理ステーションIPマスク】255.255.255.240 #/28
【コミュニティ文字列】public #community name
【アクセスモード】Read Only
【状態】有効
SNMP Trapの設定もついでに追加
【システム】>【SNMP】>【SNMPv1/v2】>【Trap設定】から以下の設定を行う
【受信者IP】192.168.1.10 #Zabbixサーバ
【バージョン】SNMPv2
【コミュニティ文字列】public #community name
【状態】有効
■Netgear WAC505-10000S
ログインしたら【Management】>【Mantenance】>【Remote Management】から以下の設定を行う
【SNMP】Enableのラジオボタンを有効化
【read-Only Community Name】public #初期値
【IP Address (to receive traps)】192.168.1.10 #Zabbixサーバ
【Trap Port】162 #初期値
有効化してIP入れるだけなのでこれが一番設定が簡単だった
■Zabbix 5.0 (raspbian上)
Zabbix側にホストの追加を行う
ログインして【設定】>【ホスト】>【ホストの作成】から以下の設定を行う
・ホストタブ
【ホスト名】任意
【グループ】Templates/Network Devices
【インターフェース】初期値を削除してsnmpを追加して監視対象機器のIPアドレスを指定
・テンプレートタブ
【新規のテンプレートをリンク】Template Net Network Generic Device SNMPv2
・マクロタブ
【マクロ】{$SNMP_COMMUNITY}
【値】public
該当機種分同じ作業を繰り返して登録し、ある程度時間が経過するとSNMPが有効化されて値が取得される
これで死活監視や各機器のインターフェーストラフィック量が見やすくなるので、グラフの表示とかをまた調整しよう
2020年5月6日水曜日
Sophos XG FirewallのLAN側IPv6 IPoE(DS-Lite)設定
3月からの在宅勤務が緊急事態宣言の延長で長引きそうなので、自宅回線増強のためIPoE化をすることに
IPoEサービスは国内だと以下2つの種類が存在している
・v6プラス (MAP-E)
・transix (DS-Lite)
どちらもIPv4アドレスを複数ユーザでシェアするためNATセッション数は1,000くらいに制限される上、送信元にウェルノウンポートが利用できないためWebサーバやVPNサーバ等の外部からアクセスするサーバ公開ができなくなる
MAP-Eであれば割り振られたポートを利用するように設定変更すれば無理やりでも方法はあるものの、DS-Liteは網側でNATされているため方法はないみたい
一応両サービスともにIPv4の固定IPアドレスサービスが存在してるものの、実際の提供ISPによってはメニュー化されていない場合がある
今回はXG FirewallがMAP-Eに対応していないので、DS-Liteを利用することにした
(厳密にはDS-Liteも公式に対応情報は出ていない)
今回選んだのはインターリンク社のZOOT NATIVE
ISP契約のみ可能で初期費無料、開通後2か月無料なのと申し込みから小一時間で開通するので試すにはちょうどいい
申し込みには自宅のフレッツ回線の種別とCAF番号、アクセスキーが必要となる
支払方法をクレジットカードにして申し込んだら登録完了メールが届き、実際の開通連絡は1時間半後くらいだった
設定はマニュアルは以下サイトに公開されている
当然XG Firewallは記載がないのでYAMAHAルータのConfig辺りを参考に手探りで頑張る
設定に必要な開通案内の情報はほぼ無いのでXG Firewallに設定を入れていく
尚、IPv6でのInternet通信をする場合はLAN側のIPv6設定も必須なので先に済ませておく
利用するインターフェースは空いてるPortCをWANとして設定する
PortBにはOCNのPPPoE設定が入っているものの、MTU値が異なるので違うNICを利用する方が無難
PPPoEを利用する場合のフレッツ光ネクストのMTUは1454、
IPoEを利用する場合のフレッツ光ネクストのMTUは1500となっている
MTU値が違う場合は読み込みが遅くなったり、そもそも繋がらないこともあるので要注意
ログインして【設定】>【ネットワーク】>【インターフェース】から【PortC】を選択
設定か所は以下
【ネットワークゾーン】 WAN
【IPv4設定】 チェックを外す
【IPv6設定】 チェックを入れる
【IPの割り当て】 DHCP
【モード】 手動 ステートレス DHCPから他の設定を承認にチェック
IPoEの場合は回線認証のためIPv6アドレスは自動でNIC側に設定される
このアドレスを後で使うのでメモしておく
次にDNSの設定
自動取得でも問題はないが、IPv4側がGoogleのpublicDNSを見ているからせっかくなのでIPv6側もGoogleに向けるため手動で設定する
【DNS2】 2001:4860:4860::8888
【DNS2】 2001:4860:4860::8844
次にtransixまでのIPIPトンネルを設定する
同じ【ネットワーク】のタブから【IPIPトンネル】を選択
隠れている場合は右端の【・・・】をクリックすれば出てくる
設定項目は以下5項目
【トンネル名】 IPoE (わかりやすい任意の名前)
【トンネルの種類】 4in6
【ゾーン】 WAN
【ローカルエンドポイント】 WAN側のNICに振られたIPv6アドレス
【リモートエンドポイント】 2404:8e01::feed:100
リモートエンドポイントはtransix側へ接続するためのIPv6アドレスで以下が公開されている
NTT東日本エリアから接続する方
2404:8e00::feed:100
2404:8e00::feed:101
NTT西日本エリアから接続する方
2404:8e01::feed:100
2404:8e01::feed:101
次にInternetの通信をトンネルに向けるためスタティックルートを設定する
上のトンネル設定を保存する際にダイアログボックスが表示されるが、そこでデフォルトルートを入れようとするとエラーになるので一旦消して、改めてやる必要があった
【設定】>【ルーティング】の【スタティックルーティング】からIPv4のルーティングを追加する
設定項目は以下2か所
【宛先IP/ネットマスク】 0.0.0.0 /0 [0.0.0.0]
【インターフェース】 IPoE(プルダウンで作成したトンネルを選択)
とりあえず全てIPIPトンネルに投げてしまえばInternet通信は問題なくできる
他にスタティックで設定を入れている場合はディスタンスの値で調整すればいい
最後にFWの設定を行う
【ルール名】 LAN-Internet (わかりやすいもので任意に)
【送信元ゾーン】 LAN
【送信元ネットワークとデバイス】 任意
【宛先ゾーン】 WAN
【宛先ネットワーク】 任意
【HTTPのスキャン】 チェックを入れる
【侵入防御】 LAN TO WAN
【Webポリシー】 Default Policy
【NAT&ルーティング】 送信元アドレスの書き換え (マスカレード)にチェックを入れる
【送信用アドレスの使用】 MASQ(プルダウンで選択)
何故かLAN側をanyにしないとIPv6で通信が通らなかった
また、HTTPSの暗号化解除/スキャンを有効にしても同様に通信が通らないのでとりあえずHTTPのスキャンだけに留めることに
IPoEのIPv6通信はNAPTせず端末にアドレスが設定されるとかの記載をよく見るが、XG FirewallはLAN側にULAでIPv6を設定するためIPv6パススルーに対応していない
そのためNAPTが必須となるが、その分多少なりともセキュリティは強固になるのか
よくIPoEだと外からIPv6アドレスでアクセスできてしまうからポート閉塞などきちんと行う必要があると言われるが、NAPTしていれば明示的に開けない限り入れないので多分大丈夫
設定が完了したら以下サイトで接続確認を行う
IPv4、IPv6ともにInternet Multi Feedのtransixに接続できていることが確認できる
ICMPがNot testedになっているのはNAPTしている影響
回線を切り替えてから体感でもかなり安定した速度が出るようになった気がする
速度判定サイトはサイトによってまちまちだが上下共に100Mbps~400Mbpsくらいの値が出ていた
OCNのPPPoEは100Mbpsを超えることが稀だったのでこれで在宅での業務も安定して使えそうだ
ただ、DDNSでのOpenVPNが利用できなくなったのでそちらの対策は別途検討が必要になった
2020年5月5日火曜日
Sophos XG FirewallのLAN側IPv6アドレス設定(過去記事削除)
以前作成した記事に誤りがあったので削除して再度アップし直し
Sophos XG Firewall Home EditionのLAN側にIPv6の設定を行う
端末への払い出しはステートフル自動設定にて実行する
参考 ステートフル自動設定について
設定するIPv6アドレスは【 ULA(ユニークローカルアドレス)】
RFC4193の内容ではULAではIFのMACアドレスからEUI-64の値を求めて、NTPから求めた値を組み合わせてSHA-1でハッシュ値を求めて下位40bitをfdに追加して利用するとのこと
計算アルゴリズム組もうかとも思ったけど、海外サイトにいいものがあったのでそちらを利用
【RFC4193 IPv6 Generator】
ここにMACアドレスを入れると自動でULAを計算してくれる
計算アルゴリズム組もうかとも思ったけど、海外サイトにいいものがあったのでそちらを利用
【RFC4193 IPv6 Generator】
ここにMACアドレスを入れると自動でULAを計算してくれる
今回は以下の値になった。
 |
早速インターフェースに設定を行う
XG Firewallにログインして【設定】>【ネットワーク】>【インターフェース】から【PortA】を選んで【IPv6設定】のチェックを入れる
設定項目は以下の2か所
【IPの割り当て】 スタティック
【IPv6/プレフィックス】 fdc5:e2b2:b25e:1::1 / 64
IPv6は上記のジェネレータで作成した値の範囲から任意で好きに設定すればいい
見た目わかりやすいように、第4オクテットをVLANと同値にした
他のVLANインターフェースも同様に行う
次にDHCPv6サーバの設定を行う
同じ【ネットワーク】の設定画面のタブから【DHCP】を開いて【サーバ】の【追加】から設定画面を開く
タブで【IPv4】と【IPv6】に分かれているので【IPv6】を選択する
設定は以下4か所
【名前】 VLAN1_DHCPv6(任意の名前)
【インターフェース】 PortA
【ダイナミックIPリース】 ※使わないけど必須なので適当に範囲内の値を入れる
【DNSサーバ】 【デバイスのDNS設定を使用】にチェック
ここで必要なのはDNSの設定だけ
LAN内で使うだけならDHCPサーバの設定自体無くても問題ない
端末への払い出しはステートフル自動設定によって行われるが、払い出し範囲が必須入力なのが少し残念な気がする
最後にRAの設定を行う
同じ【ネットワーク】の設定画面のタブから【IPv6ルータアドバタイズ】を開く
多分表示されていないので右端の【・・・】をクリックしたら項目が現れる
設定項目は以下4か所
【インターフェース】 PortA(プルダウンから選択)
【アザーフラグ〔O Flag〕】 〔HDCPv6から他のパラメータを管理〕にチェック
【デフォルトゲートウェイ】 チェック
【アドバタイズ設定のプレフィックス】fdc5:e2b2:b25e:1::0
M Flagは不要
アドバタイズ設定のプレフィックスにはネットワークアドレスを入力する
ここの値を元に下位64bitのアドレスを端末自身が設定する
他のVLANインターフェースも同様に行う
端末側でv6のアドレスが払い出されているか確認する
※VLAN10のWindows10端末
※VLAN20のAndroid9端末
これで問題なく各VLAN毎にIPv6アドレスの設定が完了した
ひとまずIPv6でLAN内の通信をする予定は無いのでFWの設定は省略する
必要があればVLAN毎に通信可否をFWで設定してやればいい
2020年1月3日金曜日
SSLインスペクション有効時にGoogleDriveに同期できない問題
XG FirewallでSSLインスペクションを有効にした際、Windows10上のGoogleDriveと同期するための【バックアップと同期】がログインエラーで接続できなくなった
Googleの仕様を見る限りレジストリを弄るか、該当URLを除外リストに入れろとのこと
■レジストリ弄る場合
【 ドライブファイルストリームを構成する 】
■ホストを例外リストに入れる場合
【 Google ドライブのファイアウォールとプロキシの設定 】
ひとまず影響の少なそうな除外リストで対応することにして、ページ上にあるホストをメモ帳などにコピペして、ポート番号などの不要な個所を削除して加工する
次にXG Firewallにログインして【 保護 - Web 】から【 例外 】タブを開いて、【 例外リストの追加 】からリストを作成する
【 名前 】はわかりやすく【 google 】
【 URLパターン一致 】に上記でコピーしたホスト名を続けて入れていく
【 選択したチェックまたはアクションをスキップする 】から【 HTTPS復号化 】にチェックを入れて設定を保存する
おそらく【 googledrive.com 】だけでもイケたかもしれないが念のため一通り登録してみた
再度【 バックアップと同期 】のアプリを開いてテストすれば無事二要素認証も通過してログインできた
XG Firewallの仕様上、先頭に【 * 】や【 ? 】などのワイルドカードを利用した正規表現は利用できなかったのでそれだけ除外したのがどれだけ影響が出るか少し心配だ
Googleの仕様を見る限りレジストリを弄るか、該当URLを除外リストに入れろとのこと
■レジストリ弄る場合
【 ドライブファイルストリームを構成する 】
■ホストを例外リストに入れる場合
【 Google ドライブのファイアウォールとプロキシの設定 】
ひとまず影響の少なそうな除外リストで対応することにして、ページ上にあるホストをメモ帳などにコピペして、ポート番号などの不要な個所を削除して加工する
次にXG Firewallにログインして【 保護 - Web 】から【 例外 】タブを開いて、【 例外リストの追加 】からリストを作成する
【 名前 】はわかりやすく【 google 】
【 URLパターン一致 】に上記でコピーしたホスト名を続けて入れていく
【 選択したチェックまたはアクションをスキップする 】から【 HTTPS復号化 】にチェックを入れて設定を保存する
おそらく【 googledrive.com 】だけでもイケたかもしれないが念のため一通り登録してみた
再度【 バックアップと同期 】のアプリを開いてテストすれば無事二要素認証も通過してログインできた
XG Firewallの仕様上、先頭に【 * 】や【 ? 】などのワイルドカードを利用した正規表現は利用できなかったのでそれだけ除外したのがどれだけ影響が出るか少し心配だ
2020年1月1日水曜日
Sophos XG FirewallでのVLAN設定
自宅で接続する端末毎にNWを分けたいのでXG FirewallにVLANを設定する
公式のサイトだと日本語表記がなかったが、まぁ進めた
【 Sophos Firewall: How to Configure Virtual LAN 】
メニューの【設定 - ネットワーク】から【インターフェース】タブを開いて【インターフェースの追加】のプルダウンメニューから【VLANの追加】選択
物理インターフェースにはLAN側の【 PortA 】を選択
ゾーンは【 LAN 】
VLAN IDは設定したいVLANのID、今回は【 10 】で設定
IPの割り当ては【 スタティック 】でIPアドレスを指定
管理しやすいようにVLAN IDと合わせて【 192.168.10.1 】【 /28 255.255.255.240 】
に設定
ちなみにXG FirewallのdefaultVLANは1から変更できない模様
企業向けに使う場合にその仕様は如何な物か
必要であれば【 DHCP 】タブから【 DHCPサーバ 】の設定も可能
今回は全端末スタティックで設定するので省略
作成したVLAN配下の端末がインターネットに出られるようにFWの設定を行う
まずは【システム - ホストとサービス】の【 IPホスト 】タブにて【 追加 】から新しいホストを追加する
名前は管理用分かりやすいように【PortA_VLAN10】とした
種類は【 ネットワーク 】でVLANの範囲全てを設定する
IPアドレスに【 192.168.10.0 /28 】
IPホストグループはIPでホスト単位に作成したりIPの範囲でNW内の一部を作成したりした際に、グルーピングしたりするのに使えそう
【保護 - ファイアウォール】の【 +ファイアウォールルールの追加 】から新しいルールを作成する
ルール名は任意
送信元の送信元ゾーンは【 LAN 】、送信元ネットワークとデバイスには上記で作成した【 PortA_VLAN10 】を選択
宛先&サービスの宛先ゾーンは【 WAN 】、宛先ネットワークとサービスは【 任意 】を選択
画面をスクロールして、HTTPのスキャンにチェックを入れる
HTTPSの暗号化解除/スキャン(SSLインスペクション)は別途証明書の発行などがあるので、設定しない場合は外しておく
侵入防御は【 LAN TO WAN】が自動選択されるので問題なければそのまま
NAT&ルーティングも【 送信元アドレスの書き換え(マスカレード) 】が選択されるのでそのままにして設定を保存する
これでXG Firewall側のVLAN設定は完了した
ただESXiのvSwitchもいじらないとVLAN使えなかったので次はそれを記事にしよう
公式のサイトだと日本語表記がなかったが、まぁ進めた
【 Sophos Firewall: How to Configure Virtual LAN 】
メニューの【設定 - ネットワーク】から【インターフェース】タブを開いて【インターフェースの追加】のプルダウンメニューから【VLANの追加】選択
物理インターフェースにはLAN側の【 PortA 】を選択
ゾーンは【 LAN 】
VLAN IDは設定したいVLANのID、今回は【 10 】で設定
IPの割り当ては【 スタティック 】でIPアドレスを指定
管理しやすいようにVLAN IDと合わせて【 192.168.10.1 】【 /28 255.255.255.240 】
に設定
ちなみにXG FirewallのdefaultVLANは1から変更できない模様
企業向けに使う場合にその仕様は如何な物か
必要であれば【 DHCP 】タブから【 DHCPサーバ 】の設定も可能
今回は全端末スタティックで設定するので省略
作成したVLAN配下の端末がインターネットに出られるようにFWの設定を行う
まずは【システム - ホストとサービス】の【 IPホスト 】タブにて【 追加 】から新しいホストを追加する
名前は管理用分かりやすいように【PortA_VLAN10】とした
種類は【 ネットワーク 】でVLANの範囲全てを設定する
IPアドレスに【 192.168.10.0 /28 】
IPホストグループはIPでホスト単位に作成したりIPの範囲でNW内の一部を作成したりした際に、グルーピングしたりするのに使えそう
【保護 - ファイアウォール】の【 +ファイアウォールルールの追加 】から新しいルールを作成する
ルール名は任意
送信元の送信元ゾーンは【 LAN 】、送信元ネットワークとデバイスには上記で作成した【 PortA_VLAN10 】を選択
宛先&サービスの宛先ゾーンは【 WAN 】、宛先ネットワークとサービスは【 任意 】を選択
画面をスクロールして、HTTPのスキャンにチェックを入れる
HTTPSの暗号化解除/スキャン(SSLインスペクション)は別途証明書の発行などがあるので、設定しない場合は外しておく
侵入防御は【 LAN TO WAN】が自動選択されるので問題なければそのまま
NAT&ルーティングも【 送信元アドレスの書き換え(マスカレード) 】が選択されるのでそのままにして設定を保存する
これでXG Firewall側のVLAN設定は完了した
ただESXiのvSwitchもいじらないとVLAN使えなかったので次はそれを記事にしよう
2019年11月24日日曜日
自宅NGFWの導入 その7 Sophos XG FirewallのOpenVPN設定
XG Firewallでインターネットへは接続できるようになったので、
VPNの設定は公式のドキュメントに沿って進める
■VPNグループとユーザ作成
【認証】-【グループ】からVPNグループとユーザを定義する
【グループ名】に名称を設定、後で管理しやすいように分かりやすい名前に
【認証】-【ユーザ】からVPN接続用ユーザを作成
【ユーザ名】と【名前】は同じ方が管理しやすいかな
【パスワード】は適当に8桁以上ならいいか
【ユーザの種類】は外から色々アクセスする用に【管理者】
【グループ】は上で作ったグループをプルダウンから選択
■VPN範囲の定義
【ホストとサービス】-【IPホスト】でVPNユーザがアクセスするローカル側のレンジを指定
今回は【名前】をLocal_hostとしてLAN機器のNWアドレスを設定
【ホストとサービス】-【IPホスト】でVPN側のレンジを指定
default値は【10.81.234.5 - 10.81.234.55】なのでとりあえずそのまま利用
もしこのあたりのレンジも変更するのであれば【VPN】の設定画面上部の
【VPN設定を表示】から詳細な設定が変更できる
■VPNポリシーの定義
【VPN】-【SSLVPN(リモートアクセス)】でポリシーの作成
【名前】は任意
【ポリシーメンバー】には上で作成したVPNグループやVPNユーザを登録
外部からXG Firewall経由でインターネットアクセスを行いたいので、
【デフォルトゲートウェイとして使用】を【on】にする
■VPN向けの許可ゾーン確認
【管理】-【デバイスのアクセス】のローカルサービスACLで
【VPN】からアクセスするサービスを確認
GUI操作などだけなら【HTTPS】のみチェックで良い模様
WiFiはSophos製無線AP用なので全てチェックを解除し、
DMZも利用していないので全てチェックを解除した
■ファイアウォールルールの作成
【ファイアウォール】に移動して【ファイアウォールルールの追加】で新規ルールを作成する
まずVPNからローカルホスト側へのアクセスルールの作成
【ルール名】は任意
【送信元ゾーン】は【VPN】を選択し、【送信元ネットワークとデバイス】は
上で作成したVPNグループを選択
【宛先ゾーン】は【LAN】を選択し、【宛先ネットワーク】はVPN範囲の定義で作成したLocal_hostをプルダウンから選択
次にVPNからXG Firewall経由でのインターネットアクセスルールを作成
【ルール名】は任意
【送信元ゾーン】は【VPN】を選択し、【送信元ネットワークとデバイス】は
上で作成したVPNグループを選択
【宛先ゾーン】は【WAN】を選択し、【宛先ネットワーク】は【any】とする
これでVPN接続してXG Firewall経由でインターネットにもアクセスできるようになる
■VPNクライアントのダウンロード
XG FirewallのIPにポート番号443を付与してアクセス
今回は【192.168.1.1:443】
ここは公式ドキュメントが間違えているみたい
ログインIDとパスワードは上記で作成したVPNユーザのものを利用
とりあえずダウンロードページからOpenVPN用のプロフィールをダウンロードしてスマートフォンへ転送してOpneVPNアプリで設定すれば完了
FWの設定が結構見やすくていいけど、グループじゃなくてIP毎とか個別に設定する場合でも、それぞれ作らないといけないのは少し手間かな
FWルール自体も自動的にグルーピングしてくれるので後で管理するのは楽な気がする
スマートフォン等外から自宅へアクセスできるようにVPNの設定を追加する。
設定方法は以下の公式サイトを参照した
自宅のISPは動的IPでの契約のため、まずはDDNSの設定を有効にする
XG Firewallの設定画面にログインして【ネットワーク】-【ダイナミックDNS】の画面に移動
【ホスト名】は【任意の文字列】+【myfirewall.co】
【インターフェース】はWan側のPortBを選択
サービスプロバイダはいくつかあるが、今回は【Sophos】を選択
これで保存すればDDNSが有効になる
【インターフェース】はWan側のPortBを選択
サービスプロバイダはいくつかあるが、今回は【Sophos】を選択
これで保存すればDDNSが有効になる
VPNの設定は公式のドキュメントに沿って進める
■VPNグループとユーザ作成
【認証】-【グループ】からVPNグループとユーザを定義する
【グループ名】に名称を設定、後で管理しやすいように分かりやすい名前に
【認証】-【ユーザ】からVPN接続用ユーザを作成
【ユーザ名】と【名前】は同じ方が管理しやすいかな
【パスワード】は適当に8桁以上ならいいか
【ユーザの種類】は外から色々アクセスする用に【管理者】
【グループ】は上で作ったグループをプルダウンから選択
■VPN範囲の定義
【ホストとサービス】-【IPホスト】でVPNユーザがアクセスするローカル側のレンジを指定
今回は【名前】をLocal_hostとしてLAN機器のNWアドレスを設定
【ホストとサービス】-【IPホスト】でVPN側のレンジを指定
default値は【10.81.234.5 - 10.81.234.55】なのでとりあえずそのまま利用
もしこのあたりのレンジも変更するのであれば【VPN】の設定画面上部の
【VPN設定を表示】から詳細な設定が変更できる
■VPNポリシーの定義
【VPN】-【SSLVPN(リモートアクセス)】でポリシーの作成
【名前】は任意
【ポリシーメンバー】には上で作成したVPNグループやVPNユーザを登録
外部からXG Firewall経由でインターネットアクセスを行いたいので、
【デフォルトゲートウェイとして使用】を【on】にする
■VPN向けの許可ゾーン確認
【管理】-【デバイスのアクセス】のローカルサービスACLで
【VPN】からアクセスするサービスを確認
GUI操作などだけなら【HTTPS】のみチェックで良い模様
WiFiはSophos製無線AP用なので全てチェックを解除し、
DMZも利用していないので全てチェックを解除した
■ファイアウォールルールの作成
【ファイアウォール】に移動して【ファイアウォールルールの追加】で新規ルールを作成する
まずVPNからローカルホスト側へのアクセスルールの作成
【ルール名】は任意
【送信元ゾーン】は【VPN】を選択し、【送信元ネットワークとデバイス】は
上で作成したVPNグループを選択
【宛先ゾーン】は【LAN】を選択し、【宛先ネットワーク】はVPN範囲の定義で作成したLocal_hostをプルダウンから選択
次にVPNからXG Firewall経由でのインターネットアクセスルールを作成
【ルール名】は任意
【送信元ゾーン】は【VPN】を選択し、【送信元ネットワークとデバイス】は
上で作成したVPNグループを選択
【宛先ゾーン】は【WAN】を選択し、【宛先ネットワーク】は【any】とする
これでVPN接続してXG Firewall経由でインターネットにもアクセスできるようになる
■VPNクライアントのダウンロード
XG FirewallのIPにポート番号443を付与してアクセス
今回は【192.168.1.1:443】
ここは公式ドキュメントが間違えているみたい
ログインIDとパスワードは上記で作成したVPNユーザのものを利用
とりあえずダウンロードページからOpenVPN用のプロフィールをダウンロードしてスマートフォンへ転送してOpneVPNアプリで設定すれば完了
FWの設定が結構見やすくていいけど、グループじゃなくてIP毎とか個別に設定する場合でも、それぞれ作らないといけないのは少し手間かな
FWルール自体も自動的にグルーピングしてくれるので後で管理するのは楽な気がする
登録:
投稿 (Atom)