【UTM】統合脅威管理スレ
>>149 >次回は「公式サイトのブロックを解除」です まだこの記事書かれてねえのなw Sophos XG Firewallを直接インストールしたSSDをWindowsのcmdでclean allして Windowsをインストールしようとしても出来ないんですが 何をすればSSDをインストール可能な状態に戻せるのでしょうか? >Windowsをインストールしようとしても出来ないんですが ちゃんとwinのインスコメディアから起動してるか? インスコ出来ない症状を具体的にしっかり書かないとアドバイスできんぞ 例えばSSDが見えんとか 一旦linuxのインスコメディア(鳥は何でもイイ)から fdisk起動してパーティション全削除してみてどうよ >>152 ありがとうございます WindowsのインストールDVDからの作業でした もう一度精査して正確な情報でうかがうべきですね 出直します >>153 いやそんなかしこまらなくてもw bootrec /fixboot bootrec /fixmbr winのインスコメディアから起動して今すぐインストールを選ばず コンピューターを修復する->コマンドプロンプト起動して この辺のコマンドも試してみて >>154 ありがとうございます 無事インストールできました >>156 亀レスしつれい Windows8.1のインストールディスクだと何故かすんなりいきました >>157 そうだったんだ いずれにしてもうまくSSDにwin再導入できてよかったなw XGの後ろにNASにVPN接続するのに丸一日も掛かった UTMより設定分かりづらい Sophos XG Firewallなんだけど LAN側の無線LANルーターからプリンターが見えなくなって印刷に苦労するように 2、3ヶ月前からなりまして どこか設定いじったらまた繋げられるようになるんでしょうか? 多分な つか無線LANルータを再起動してみてどうよ もしあればファームのアップデートとか >>161 再起動はしましたが変化なしです 10年位以上昔の無線LANルーターなんでファームは無理ですね 便利でしたが有線でいくことにします 10年前のルータでも最終版になってるんならイイんじゃね>ファーム xgの本体機能のvpnやsshをアクセス制限かけたい時はローカルサービスACLじゃないと駄目なんだな ファイアウォールルール必死に弄ってた Sophos UTM Home Editionを ルータ(192.168.0.1/24)とパソコン群(172.16.0.0/24)の間に入れてセキュリティを強化してみたのですが ルータのsyslogをパソコン側に送りたいのですがどのような設定をすれば良いのでしょうか? とても素人な質問ですみません ルータのLAN側のIPアドレスからパソコン群(または特定のPC)への514/udpポートを通過設定にして あとルータでパソコン群の中でsyslogdを動かしてるPCのIPを指定してやる こんなカンジでどうよ? ttp://buffalo.jp/download/manual/html/bro180/manual/ ルータ何使ってるか分からんので一例としてダメルコのBBR-4HG >ログ情報転送 >ログ情報転送機能 > ログ情報転送機能を使用するかどうかを設定します。 >Syslogサーバー > Syslogサーバーのアドレスを設定します。 >>166 レスサンクス! でもごめんなさい、UTMスレなのでSophos UTM9設定の質問でした ESXiやアライドSWなどLan側(172.16.0.0/24)のsyslogは centos上のrsyslogで拾えて、毎日ローテーションでログ圧縮までなんとか出来てます ネットワークプロテクション―NAT―新規NATルールから ルールタイプ:DNAT、トラフィック送信元:ルータ(192.168.0.1)、サービス;SYSLOG(514)、 トラフィック宛先:Internal(172.16.0.0/24)、変更後の宛先:syslogサーバ と、それっぽいのを入れてみたのですが・・・ syslogサーバで、tcpdump -i any --nn port 514と打っても Lan側にあるESXiなどからのsyslogのパケットしか見えません ファイアウォールのルールも色々イジってもダメでした 何か大きな見落としをしてそうなのですが、初心者なので理解が足りてないと思います ちなみにルータはヤマハのNVR510です >>167 >syslogサーバで、tcpdump -i any --nn port 514と打っても >Lan側にあるESXiなどからのsyslogのパケットしか見えません ルータ(192.168.0.1/24)のサブネットからパソコン群(172.16.0.0/24)のcentos鯖の514番ポート狙って投げてみないとダメじゃねえの centosからルータにsyslogを取りに行くのではなくルータから送り付けるんだよな? >>168 syslog host 172.16.0.xxxとsyslogサーバへ投げる configはルータに入れてます 試しにsyslogサーバをUTMを通さず、ルータに繋いで(172→192に変更) 動作確認をしたら、syslogを受け取ってるのでルータ側はok やはりUTMの設定に問題があるようです >>169 繰り返しにはなるが まずはルータのIPアドレスからcentos鯖の514番ポートへ通る設定に出来てるのか UTMの設定を再度確認汁 >>170 う〜ん、レスしてくれるのはありがたいんですが・・・ syslogに関する、UTMの設定が分からないから、使用してるUTMを>>165 で書いて質問しています 業務で必要ならコンサル雇う手もあるけどソレではいかんの?w 家庭でUTMを使う人は居ても、家庭でコンサル雇う人は少ないかと せめてこう設定しましたとか設定画面のスクショ貼るとかすればイイのになと思うわ カワイクナイヤツw >>174 具体的な設定内容を書いてますよ? >>167 > ネットワークプロテクション―NAT―新規NATルールから > ルールタイプ:DNAT、トラフィック送信元:ルータ(192.168.0.1)、サービス;SYSLOG(514)、 > トラフィック宛先:Internal(172.16.0.0/24)、変更後の宛先:syslogサーバ esxiでデータストアはSSDにして debianでsamba動かしてるんだけど同じセグメントだとwindowsのエクスプローラの表記で100MB/sec以上出るけどXGfirewall越しの別セグメントにすると5MB/secまで落ち込んだり40MB/secだったり不安定になる さすがに5MB/secは落ちすぎよね Sophos XG使ってる人でMTAモードのスパム使えてる人居る? いくら設定してもマルウェアは駆除できてもスパムメールはじかないんだけど。。 SMTP隔離も機能してくれないしなんでなんだろ。 Celeron j1900でsophos xg使ってる人いる? XCYってとこが出してるミニPCに入れたいのだけどもまともに動くか心配なので うちは1.5GHz2コアのセレロン3205Uで問題なく動作しているからJ1900は無問題じゃない sophos xgのvpnスループットってどのぐらいかね 家庭内でXGfirewall通してセグメント越える時スループットをなるべく維持するには何か調整するべきところある? 余計なチェックしない。 ポリシー先頭に持ってくるとか? セグメント越えるトキにUTMに何も仕事させないコトだよな Sophos Firewall XG Home Editionを有料でいいから公式でサポートして欲しい 年間12,000円くらいなら払えそうだけど 個人利用と区別が付きにくいSOHOでの利用も出来たらさせて欲しいと思うけど communityでイイじゃん>Sophos XG Firewall Home Edition >>189 SOHOならNTTのBizBox UTMのSonicwallじゃない奴でも、、、って高いかw auひかりの環境でSophos XGを導入したのですが、 IPv6の設定をどうしたらいいか全く見当がつきません WAN側のインターフェイスはDHCPv6からアドレスを拾えていて、 tracertもgoogleまでとおっているのですが、 LAN側のPCが一つもIPv6のアドレスを取得できていません。 XGでDHCPv6を立ててみようかと思って、ネットワーク>DHCP>IPv6の設定に入ったのですが、 インターフェイスの選択欄が空欄で、構成できないようです。 どなたか知恵をお貸しください。 RAってなにかなと思ったらRouter Advertisementか LAN側のRAの項目に適当に設定をしてみたら、 LAN側の機器にIPv6が振られて、LAN無いでの通信はできるようになりました。 ただ、>>138 を入れてみても外部への通信はできていないようです。 XGでRAアナウンスをするのではなく、auのHGWからのRAを通過させるべきなのかな とは思いつつも、設定方法が全く見当つきませんでした。 untangleもEndianも試したのですが、何とか実用できそうな気配を感じたのはXGなので もう少し頑張ってみたいとは思います。これがだめならpfsense入れて全部主導で構築 しないといけないのかな? 私はauひかりだけどipv6で通信できてますよ。ipv6は最低限度の接続にしたいので、スタティックで1台だけip振ってますけどね。 >>196 HGWとxgの設定晒してくれないでしょうか? 自分もxg配下のホストからv6でインターネットに出たいです。 ぐぬぬSophos Firewall XG Home EditionのVPNの設定がよくわからん これができればお金かけずにUTM通した通信ができるはず >>198 Sophos Connectだと、以下のようつべが参考になるかな #昔のCisco ipsec https://www.youtube.com/watch?v=-QfZmW5U1vU このプロトコルを使う場合は、ルーター側でESP(ipプロトコル50)、IKEのudp500とudp4500を通す必要があるよ Sophos XG FirewallでV6プラスを試してみて、IPv4のみのV6プラス通信はできるようになった (単純に上流にRT-500MIがあってV6プラスが繋がるから、下流のUTMとスタティックIPで繋げただけ) しかしここから先、下流のクライアントからIPv6の通信まで出来るようにするにはどーしたらいいのやら 特に困る事があるわけではないけど、どうせならIPv6の通信もしたいものだ UTMを無視してRT-500MIと繋げばIPv6通信できるんだけどもいやはや 苦肉の策でブリッジモードを構築してみたけど、ブリッジモードだとDHCPサーバー機能が使えなくなるしなぁ RT-500MIのDHCP機能はあまり良くないし Sophos XG Firewallだと確かDHCP-PD対応してないと思うからブリッジしかないんじゃないかと うーん、そっか ブリッジモードだとDHCP使えなくなるから、SophosXGでIPv6は相性悪そうね V6プラスにしても大して速くならなかったし(むしろ遅い事も)、ポート開放が面倒になるし IPv6は発展途上でややこしい仕様だらけだし(何年議論してんだ) 自分が現役の間はIPv4が主流のままだな…と感じたので従来のPPPoEで運用するのがベストな気がしてきた 今はSo-netだけど@niftyの頃は酷すぎる遅さだったので、そういう人にはV6プラスはいいのかもね そもそも速度求めるならSophos使うという選択肢はないんじゃないか? @nifty V6プラスにしたら600M余裕になったよ まとめ 赤:リーヴ、伝承エリウッド、ベレス 青:伝承エフラム、伝承ルキナ、ピクニックルカ 緑:伝承ヘクトル、ユンヌ、ヒルダ 無:伝承リーフ、ロキ、カイネギス ロキはかなりのまさかだったな >>201 XGのIPv6の考え方は一般的なものとは異なる。 LAN側のIPはプライベートIPで、WAN側に対してはNATが必要。 IPv6のプライベートIPは、ユニークローカルアドレスを使う事になる。 この定義は、fc00::/7だが、実際にユーザが利用すべきはfd00::/8。 40ビットのランダムな16進数を用いて fdxx:xxxx:xxxx::/64〜fdxx:xxxx:xxxx:ffff::/64までを使う事になる。 細かい話はともかく、自分の端末のNICのmacアドレスを用いて、以下のURLで 設定すべきULAを導く事ができる(必須ではなく、あくまで守るべきルール)。 https://cd34.com/rfc4193 (続き) XGはブリッジモードではなく、ルータモード前提で設定する。 ネットワークのWanインターフェース(恐らくPort2)でIPv6のDHCPを選択するとともに、 DHCPから他の設定の承認のチェックボックスをOnにする。 まず、WAN側は、RT-500MI(自分はauなので、この機械は全く知らないが)からv6のIP割り当ては 行えていると思う。XGの診断メニューからPingでipv6.google.com宛にpingが通る事を確認してほしい。 次に、LAN側のIP(恐らくPort1)のIPv6は前述したスタティックでIPを設定する。 XG自身のアドレスとしてfdxx:xxxx:xxxx::1/64 とする。プレフィックスはとりあえず64で良いのではなかろうか。 次はDHCPの設定。追加ボタンを押す。 IPv6を選択し、インターフェースのプルダウンでは、fdxx:xxxx〜のIPが選択できると思う。 DNSについては、XG自身のDNSを設定し、fdxx:xxxx:xxxx::1を指定しておく。 次に、IPv6ルーターアドバタイズド(RA)を選択し、追加ボタンを押す。 ここでは、インターフェースはプルダウンからPort1(LAN側)を選択。 マネージドフラグ(M Flag)はOff、アザーフラグ(O Flag)はOn、デフォルトゲートウェイも有効に。 プレフィックスは、先ほどのIPのfdxx:xxxx:xxxx::を入力する。 (続き) あとは、Firewallルールのところで、IPv6の設定で全て許可するルールを作る。 IPマスカレードはデフォルトのMASQを使えばよい(別に作成する必要はない)。 基本はこのような設定でIPv6の通信は可能になる。 但し、RAでのIPアドレスの確定は、端末を特定できないという問題がある。 恐らく、201氏はUTMに期待する事として、IPSの設定もしているだろうから、SSLインターセプトのために、 ルート証明書をインストールできる端末とできない端末とで区別する必要があるだろうとは思う。 そうなると、M FlagをOnにしてDUID(端末固有情報)を元に、端末を区別したくなる。が、IPv6の実装として 一時IPアドレスとかのややこしい話が出てきてしまい、うまく端末管理が出来ない。 長くなったので一旦はこの辺で。 >>210 感謝!確かにipv6で通信できました! >>210 うおぉ、知りたかった事が一気に書かれてて感謝しかない ホントにIPv6は調べれば調べるほど不可解な仕様だよなぁ…と思う まして今もまだ新しい仕様や機能を加えているようだし 詳しく解説してくれて本当にありがとう! きちんとメモ取ってやってみるよー v6の基本仕様はとっくの昔から変わってない すでにv6は君が思っているより広い範囲で、既に、使われている (XGのIPv6の続き) さて、IPSで端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態だと、ネットワーク>DHCPでIPv6のリース状態が分かるが、 さて、IPSでSSLインターセプトを使うには、端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態において、ネットワーク>DHCPでIPv6のリース状態を参照すると、 IPv6の端末について、DUIDがリストされると思う。DHCPv6の設定でDUIDマッピングによるIPv6のアドレスを固定で設定可能なので、 固定IPアドレスとDUIDの組み合わせを登録しておくと、DUIDを元にした固定IPが配布可能となる。次に、IPv6ルーターアドバタイズドの設定で、M FlagをOn、O FlagをOnとし、 アドバタイズ設定のプレフィックスの項で記載されている「匿名」のチェックを外す。これで一時IPアドレスは割り振られず、端末に1つの固有IPv6が割り当てられる。 Win10、iPhone、mac、Linuxについては配布されるIPの管理が可能になり、IPSの管理も捗ると思う。残念ながらAndroidはDHCPv6に対応してないので、この設定を行うとIPv6の設定がうまくいかない。 はっきりいって、ここまで面倒な事をやるなら、RAやDHCPは使わず、最初からStaticでIP設定した方が良いのかもしれない。 いろいろ余計な事を書いたが、頑張ってチャレンジしてほしい。何かのお役に立てれば。 (何度か書き込みミスってしまい、皆には申し訳ない) Sophos Firewall XG Home Editionにログイン出来ない ウィルス対策も機能してない サービス終了してますか? SOHOで仕事用のデータアップロードしたりしてるので規約違反判定されたのかな どちらにしても全くの素通り状態だ やっちゃたかなこれは 無償ツールとしてまだ配布されてるしダウンロードもできるのに ウィルス対策が機能していないというより全部機能してない 規約違反ですねたぶん そうかこうなるのか家庭用有償版UTMください たまに仕事に使うぐらいの UTM二台とも死んでる 警告やなんかがメールでくるんじゃなく削除されるんだ まあこちらのやらかしたこと文句は言えません いままでありがとうございました UTM再起動させたら普通に機能しました スレ汚し失礼致しました ホントに素通り状態だったら無償とはいえ、UTMとしては致命的じゃん。 二台ともなので何かの理由で再起動が必要だったみたいです 私も使い始めていままで経験してない初めての状態だったので焦りました スルーしてたのは何日かわかりませんがこの程度なら大丈夫です 某国家プロジェクトで採用されていたからねぇアプライアンスはwその為か日本語マニュアルしっかりしてるよね。 仕事で使ったかどうかまで判定するなんて高度なプログラムすぎんだろ さらに通信内容全部チェックして送信してるなんてUTMは嫌すぎんぞ 自宅でHomeEdition導入してるけど、職場ではさすがにXG135をちゃんと購入した 単品で100万くらいしたけど、RED50買えば安価に別拠点もUTMの恩恵受けられるのは良かった それ以前は拠点毎にオンボロUTM(設定も何もできないブラックボックス)置いてすげー金かけてたようだし… あ、ところでHyper-VでSophos XG Firewall Home Editionを導入してるけど HDDの割当ってどのくらいにしてる? とりあえず20GB割当にしたけど、これ超えてくる事あるかな VHDXの実使用量が解れば良いんだが…それかGUI上かコンソールでHDD使用量を確認できれば ゴメン、自己解決 GUIの監視&分析 ⇒ 診断 ⇒ システムグラフ から見れたのね パーセント表示だけど、25%を上回った事ないから、5GB未満、という考えでいいのかな SOPHOS通すとデフォルトだと出来ない通信がありますね Officeのインストールやアップデートとかエラーになる 他でもアプリが通信出来ませんでしたってなる LANを繋ぎ直してその時だけ直接通信させてます Officeなんてそんなに怪しい通信じゃないでしょうにね 確かにOffice2019でアップデートできないのは確認してるけど わざわざ繋ぎ替えなくても、ファイアウォールで全スルー通信設定作って そこに一時的にアップデートしたいPCを登録すりゃいいんじゃないか アップデートが終わったら外せばいいし 物理線をいじるのは面倒でしょ 手の届くところにあるんで 設定いじるより抜き差しの方がはやい ID:eBamDK/X は神だ。ipv6通信できるようになった。 追加で教えてほしいです。 同じURLで、ipv6アドレスを持ってるなら、v4よりv6を優先する方法。 今のままだと、ipv6で通信出来るけど、普段の通信は全部ipv4。 上部ネットワークがipv6通信出来るとちょっと悲しい… クライアントにV6のDNS設定されてる? Windowsならば変更していなければv6通信がv4よりも優先なので外までV6通るならそれくらいじゃないかな? >>232 返信ありがとうございます。 因みに上部はV6プラスです。 クライアントのV6DNS設定は問題なさそうで、XGで設定したipv6 DNSがipconfig/allで表示されているのを確認。 気になるのは、ipv6宛先にping飛ばすと1回目だけタイムアウトして、2回目以降pingが飛ぶ症状が出ているのが気になっています。 又、下記サイトで接続確認すると、「あなたのブラウザは動作するIPv6アドレスを持っています - しかし利用が回避されています。私たちはこの点を憂慮しています。」 って、表示されて、理由が「ipv6で接続した際に、ブラウザが1/3以上ipv4より遅い事が原因という記載有」 最初のpingがタイムアウトしてるのと何か関係あるのではないかと… https://test-ipv6.com/index.html.ja_JP どなたか分かる方ご教示お願いいたします… >>233 Windowsで何かのきっかけでIPv6優先でなく、IPv4優先になってしまった可能性。 コマンドプロンプトから「netsh interface ipv6 show prefixpolicies」を実行、::/0(IPv6)の優先順位が(::ffff:0:0/96)IPv4より高い(優先順位の数字が大きい)こと。 >IPv4の優先度が高いなら「netsh interface ipv6 reset」で一度リセットするか、「netsh interface ipv6 set prefixpolicy」コマンド等を調べてみてほしい。 あと、クライアントのDNSはXGのIPを指していますか?それともプロバイダのDNSを指していますか? とっても素人な質問なんですが UTM9でLan内の特定PCだけインターネットに接続不可ってできますか? Win7で使ってた設定とかファイルとかまだ移行できてないので Lan内同士は通信したいのでインターネットだけ止めたいです エロい人、よろしくお願いします ファイアウォール>ルール>新規ルール >送信元(接続不可PCのIPアドレス)/サービス(Any)/宛先(PPPoE Network)/アクション(破棄)でON、 ソート順を最上位にしても何事もなくインターネットに繋がっちゃいます どう設定すればLan内のみWan接続不可にできますか? >>236 やっぱり具体的な設定は存じ上げず、できる気がするってところだったのでしょうか? sophosのxg入れてGoogleの追跡ブロックとか過剰通信のブロックで助かってるけど、geforceのexperienceがアップデートしてないのに気がついた webの例外リストにアップデートサーバのホスト名やIPアドレス入れてもブロックされるし、ファイアーウォールのルールで送信元IPだけ入れて他の項目全部任意で許可設定してもダメ、難しい どなたか指定したIPアドレスを無条件に許可する方法教えてください! >>240 システム->ホストとサービスでIPホストを追加 保護->ファイアウォールで、先のIPホストを宛先にして、許可ルールを追加 >>241 ありがとうございます! とはいえそれでも結局ダメだったので、手動DLしてきました。 別ソフトのアップデートも止まってる、禿げそう・・・ Webの例外に入れてもファイアウォールに入れても443ブロック、HTTPSだからいけそうなもんなのに TCP443 blocked メッセージ:Could not associate packet to any connection 検索したらコミュニティに似たような事象結構あったのでちょっと調べてみます xgでvpn使ってるけどくそ遅いし数分でほぼ通信出来なくなる ログにbadtcpchecksumって出てるけどこいつのせいかもわからん 設定間違ってんのかなぁ 最近の流行りはwireguardってやつらしいですよ。 xgでのvpnと比べて2倍くらい早くなりました。 icmpは通るけどtcpがほとんど通ってない感じ キャプチャするしかねえな >>244 興味あるけどxgで一括でやったほうが楽かなと 別でvpn鯖建てるならソフトイーサでいいや >243 L2TPだったらconsole入ってshow vpn configurationでL2TPのMTU が1410のままだったりしない? >>247 MTUは1410のままだけどフラグメント云々のレベルじゃなく通信出来ない… と思ってたらesxi側の不具合(ストレージドライバの相性)直したら直った なんやねんこれ… Sophosのページから sophos antivirus for linuxがなくなったぞ サービス終了らしいが、お前ら何に移動する? Microsoft Defenderしかまっとうなの選択肢なさそうだがw >>249 ググったら普通にページ出てきたぞ? あとここはUTMのスレだから若干スレチかな でももし本当にsophos antivirus for linuxがなくなったら困るなー Linuxってまともなアンチウイルス製品ないんだよなあ… Sophos UTM Essential Firewall 指示に従い、ユーザー登録して、 ライセンスファイルが、メールにて届けられたが、 ダウンロード先の記載がなくて、ダウンロードできないです。 誰か、わかる人いますか? ライセンス発行する時に承諾押したら自動ダウンロードされた気がするけどなぁ 上のURLから、登録しても、できないんですよ。 探していたら、vectorにありましたが、これが、該当物でしょうか? https://www.vector.co.jp/vpack/browse/person/an052974.html SoposUTM_EF.zip 先ほど、ダウンロード終わりましたので、確認してみます。 vmwareにいれて、起動しました。 ネットワークカードが、なぜか認識しなかったけど、 インストールまでは、完了しています。 ライセンスキーを入れないと、sophos UTMとして30日間動作するそうです。 >>254 あーなるほど、どうやらHTML形式でメール受信するとメールの下半分が切れちゃってるみたい vectorのなぜかアスタローがアップロードしているのでもいいけど、 一応正式なDLリンク貼っとくね https://www.sophos.com/ja-jp/support/utm-downloads.aspx 下の方に重要な記載があるから、メールをテキストベースで開いて味噌 ※参考 --------------------------------------------------- 添付されている Sophos UTM Essential Firewall ライセンスファイルを、「管理 >> ライセンス」でアップロードします。 MyUTM 個人アカウント アクティベーションリンクより、アカウントをアクティベートしてください。 アクティベーションリンク:(URL) アクティベーションの有効期間: 24 時間 --------------------------------------------------- ネットワークカードはVMで仮想インストールするならカードの品番気にしなくても表示されるはずなんだけどなぁ 単純にネットワークアダプタを設定でいれてないとかない?(最低2個必要) >265 HTML メールが切れてるのか、了解 ちょっと、対応してみます。 esxに入れたxgに4本目のIF追加しようとesxからnic追加して起動したらどのネットワークとも繋がらないし追加したnicにxgのコンソールのnetwork configurationからip設定もできない(表示されない) show network interfaces叩くとPort4として出てくるけどなんやねんこれ esxで追加したnicを削除して再起動したらネットワーク繋がるようになる 追加したnicはesx内の仮想マシン同士の通信で使うのでesx側でアップリンクは設定してない homeだとIF数に制限あったりする? 何か設定見落としか >>259 解決したのかな…? 4ポートの筐体にハードインストールした時、port1から4が全部番号逆転した事あった バグなんだろうなぁて思いながら使ってるけどVMだと簡単にネットワーク変更できないから大変よね >>260 二個目の投稿の XG Home Edition on ESXi 6.7 with 4+ vNICs - NICs order と全く同じっぽい 投稿内容を見て nicをE1000する(E1000eだとダメだった)とOK その後の投稿の内容も試してみて In ESXi go to Edit VM -> VM Options -> Advanced -> Edit Configuration Then switch values for ethernetX.pciSlotNumber parameters to reorder NICs. For my case (6 NICs) following fixed the ordering issue: の部分を試したらVMXNET3でも問題なくなった Sophos XGでブリッジモードできた人いますか? セットアップ時にブリッジモード→セットアップ後、GUI接続不可 ゲートウェイモードでセットアップして、インターフェースからブリッジ追加→やっぱりGUI接続不可になる Liva Zのesxi上でやってます 下流側のLANポートにPC繋いで、ホームゲートウェイかルーターがLivaに割り当てているIPアドレスをブラウザに入力してみたら >>262 セットアップ後のipアドレスをcui画面で確認してみて、初期ipアドレスが変更かかって別のに変わってると思う。 >>263 ありがとうございます! GUIに繋がりました! ただ、Ipアドレスを自動で取ってきてくれない&インターネットにつながらないですね… ファイアウォールの設定はLAN→WAN許可 WAN→LAN 上位のルーター(DHCP)を許可 となっているんですが… >>265 アンカー間違えました… >>263 さんでした >>264 ブリッジでセットアップも試してみましたが、やはりIP取得できない&インターネットつながらないですね・・・ 診断でPing飛ばしてみたら上位のルーターにすらつながらないみたいです。 ホームゲートウェイかルーターの操作画面でLivaへの割り当てIPアドレスを固定にした方が後が楽ですよ。 下流側PCはLiva-PC間でローカルな関係ができてしまって、ローカルIPアドレスやDNSがおかしくなってないですか。192.168.1.2だったのが192.168.24.1とか。 XGはipv4とipv6で双方向なんでもありルールで動作確認してから制限ルールを足していくのがいいのではないでしょうか。 >>268 さんの言う通りホームゲートウェイかルータでxgのip割り当てちゃうのがいいと思う セットアップする度にipアドレスの自動取得で変更されてる可能性もあるし >>268 ありがとうございます! 家に帰ってからルーター側でLivaのIP固定してみます! ルーター側でIP固定できたんですね。いつもPC側で固定でしたので知りませんでした。 >>268 >>269 ルーター側にMACアドレスを設定してみました! LivaがルーターからIPが割り当てられてるのを確認して、 FWの設定をLAN→WAN、WAN→LANをすべて許可したんですけどつながらず・・・ LANにPCつないで確認したらIPアドレスを自動で取得できないですね。 手動で固定したらGUIにはつながるもののインターネットにはつながらず・・ DNSに繋がらないってエラーが出てました。 ブリッジ解除してWANとLANを設定すると何も問題なく繋がるんですけど 何がいけないのかが分からないですね・・・ pcへのip割り当てはルータの機能じゃなくてもxgのDHCP機能で割り当てればいいからあまり気にしなくていいと思う DNSに繋がらないでGUIに繋がるならLAN側は問題なさそう、WAN側(インターネット側)はport2に挿さってる?初期はport2じゃなかったっけ 管理コンソール(GUI)>設定>ネットワーク インターフェースタブ ・ここでメンバーインターフェースの確認が想定通りになっているか ・IPv4・ネットマスクがrouterで割り当てたIPアドレスになってるか ・ゲートウェイIPがルータのIPになってるか WANリンクマネージャータブ IPv4ゲートウェイでWANの状態が確認可能、ステータスは緑であること DNSタブ DNS1]がrouterのIPアドレスになっているか 思いつく限り見てみた、LANWAN間の許可入れなくても初期設定だけで使えるはずなんだけどなぁ >>273 WANはPort2に刺さっていますね。 いろいろ調べて 管理→アクセスリストのチェックボックスをWANとLAN全てチェック入れたり、FWのルールにLAN-LANの通信許可したんですけどだめでした… ブリッジ解除するとインターネットにつながるので、ブリッジの設定に問題がありそうなんですけどなかなか情報が無くて… >>274 WANリンクマネージャータブのステータスが赤以外は問題ありませんでした。 赤になる原因がわからず…ゲートウェイのipはdhcpで取ってきているので問題ないと思うのですが。。。 >>275 ブリッジににしたらってことは、ネットワーク>インターフェースで、インターフェースの追加>ブリッジの追加した時のかな それでいいなら自分はbr0で作って このブリッジペアでルーティングを有効化する:チェック無し メンバーインターフェース Port1:LAN Port2:WAN(多分Port1に変更してもいける) Port3:LAN Port4:LAN IPv4設定 スタティック、他はFWとrouterのIPアドレス で作ってる >赤になる原因がわからず…ゲートウェイのipはdhcpで取ってきているので問題ないと思うのですが。。。 ゲートウェイIPは玄関口だからdhcp関係なく固定、router自信のIPアドレスが必要で、192.168.0.1とかじゃないかな >>277 アドバイスどおりやってみました! インターフェース追加でブリッジ追加 Port1-LAN Port2-WAN ルーティングのチェックボックスチェックなし IPv4 スタティック IPv4/マスク 192.168.0.10/24(FWのIP) ゲートウェイ 192.168.0.1(上位ルーターのIPアドレス) …繋がりませんでした…うーん… >>278 ESXiですよね? vSwithの無差別モードを「拒否」から「承諾」に変更してください >>279 おおおお! 繋がりました!!!! ありがとうございます! すごく助かりました! 繋がったのはいいんですけど今度はWAN側からLAN側PCへのリモートデスクトップがつながりません・・・ ホストとサービス>IPホストで接続先PCを登録して、ファイヤーウォール設定でWAN→LAN(接続先PC)を許可 LAN(接続先PC)→WANを許可したんですけどダメ見たいです・・・ 今のネットワーク図はこんな感じです。 [Internet] - [ルーター(DHCPサーバ)192.168.0.1/24] | ー [FW(LIVA Z)192.168.0.2] - [接続元PC] | [ルーター(DHCPサーバ)192.168.1.1/24] | [接続元PC] >>281 図がずれていました。 [Internet] | ー [ルーター(DHCPサーバ)192.168.0.1/24] | ー [FW(LIVA Z)192.168.0.2] - [接続先PC] | [ルーター(DHCPサーバ)192.168.1.1/24] | [接続元PC] telnetとかでパケットが行ってるかどうか確認してみ 接続先pcではwiresharkとかでパケットキャプチャして 届いてなければ途中のFWのログを確認 接続元PC→FWまでは繋がるんですけど、そこから接続先PCがNGみたいです。 接続先PCも同様に接続先PC→FWはOKでそこからルーターにはつながらないですね・・ ESXiのLAN側の仮想スイッチの無差別モードを承諾にしたらつながりました! FWの設定を色々変えてるので他にも要因があるかもしれませんが報告まで。 みなさんXGは18にあげました? 必要最低RAMが4GBになっちゃったので自分は17で維持するつもりです。。。 SSLインスペクションの機能が向上したらしいので上げたいのは山々なんですけどねー 先月末にXG 18.0.1MR-1に上げた。 新しいDPIエンジンは確かに体感で速くなった気がするよ。 SSLインスペクション機能はDecrypt率がリアルタイムで表示されるなどダッシュボードの見た目も良いので使いたくなる。ただ自宅はIoT機器が予想以上にトラブってしまったので今はOFFにしている。心配していたメモリ使用量はV17で46%→V18.0.1で56%だった。(ESXi6.7で6GB割り当て) 良かったところをあげておくと、 ・ON/OFFの切り替えが一カ所でできわかりやすい(トラブル復旧が迅速) ・例外登録がワンクリックで行ける。ドメイン、サブドメインもその場で選択可。 あたりかな。 とはいえワンクリックで登録できるURL例外が128個まで(別の例外グループに移動させれば追加することは可能)とちょっと少ないのと、トラブル発生後の対応になるので後手の対応となることは否めない。次バージョンではRadwareみたいに学習モードを実装してもらえると嬉しいかも。 V18でSNMPが変わってしまって、いままでのZABBIXテンプレートではメモリ使用率が拾えないなど(MR-4で修正予定?)細かい点で非互換はあったが、いまのところ概ねバージョンアップは満足っす。 >>289 サンクス やっぱメジャーバージョンアップだけあって色々向上してるんですね〜 関係ない話だけどXGの代わりにopnsenseってやつを使おうと構築してみたんですが、 clamav使ってのマルウェア解析動かしたらメモリ使用率が爆上がりしてしまったので結局XGに戻りました。。。 XG Firewall を使っているのですが、外向け通信で通信ポート番号を変える事って可能でしょうか? 例えば相手のリッスンポートが変更不可でポート1000を指定(数字は適当) こちらのアプリもポートを指定した通信は不可能で、相手にポート1000で通信しようとする ファイアウォールの設定で、外の特定のグローバルIPへポート1000の通信をしようとしたらポート2000に変更する 相手は通常のポートフォワードでポート2000で受けた通信はポート1000に変えて相手に届ける なんて事が出来ればなぁ…と思うのですが…どうなんでしょう 自己解決 SSL-VPNでテストをしてましたが、ファイアウォールの設定で 送信元ゾーン:LAN、許可されたクライアントネットワーク:すべて、ブロックされたクライアントネットワーク:なし 宛先ホスト/ネットワーク:相手のグローバルIPv4、転送タイプ:ポート、転送済みサービスポート:2000 保護されたサーバー:相手のグローバルIPv4、マップ済みポートの種類:ポート、マップ済みポート:1000(宛先ポートの変更にチェック) 保護されたゾーン:WAN 既知のユーザーに一致:チェック無し 詳細設定は全部無し設定 で、無事にポート1000しか許可していない相手にポート2000でSSL-VPNに繋ぐ事ができました これでV6プラスの開放ポート制限がかなり緩和できる… こちらでポート変換してるから、相手に何かしなくて良いし xgを再インストールするために設定の事前バックアップを取っておいたのだが 再インストール後にバックアップから復元しようとしても失敗する 原因はインターフェイスの数だった 再インストール前は3つの仮想インターフェイスを付けていたのだが再インストール後は2つだけだったため失敗した模様 3つに増やすと普通に成功 一応備忘録として XG135が職場にあるからサポートに聞いた事があるけど、復元先のインターフェースがバックアップのインタフェースより少なくなる場合は復元できないと回答もらった事がある 逆にバックアップのインターフェースが少ない場合は復元できるってさ XG135は8ポートあるから、8ポート未満の機種には復元できない 仕様だったのか せめてエラーメッセージで原因を出してくれればよかったんだけどね… 19日にSophos XG Firewall Home EditionのVPN設定をオンラインでレクチャーしてくれるのに 皆さん応募されましたか? すぐに参加はきめたんですがIPoEの回線はポートが使えないからできないのかもしれないけれど やり方は参考になるんで期待しています SSL-VPNもIPsecも教わらなければならないほど難しいもんではないしなぁ… 他社とのIPsec接続例を網羅してくれたら助かるけど、SophosXG同士のIPsecは設定項目が同じだから何も迷うところないし それ以上をレクチャーしてくれるとも思えない @niftyでIPoEでのVPN接続サービスをしてたのに辞めちゃってから VPNはウィルス対策ソフトベンダーのを使って家に接続してXGFWでのVPNは諦めていたんだけれど 調べてみると当然にIPoE使用してても使える方法があるんですね 自分にはちょっと敷居が高いから来年法人化時につかえるならそれでいいんですが 言ってる事がよーワカランが、XGでのSSL-VPNなんてクッソ楽だぞ? ワンタイムパスワードでも運用できるし、ポート変更も自由だから、V6プラス回線とかでも使える @Niftyならば、IPOEとPPPoE追加料金無しで併用できるから、VPNだけPPPoE側にすれば無問題 俺はVPN以前にv6プラス固定IPが使えないのでルーターを別に用意した DS-Liteが使えるならと思ったけど、トンネル設定にv4固定IPを設定できない仕様だった v6プラス等の動的共有IPv4アドレスってPPPoEと違って再接続してもまず変わらないからDDNSすら不要 そしてXG Firewallの標準機能であるSSL-VPNは接続先のアドレスやポートも変えられるので、固定専用IPじゃなくてもちゃんと使えるぞ それは知ってるけど、そもそもIPIPトンネル機能はあってもDS-Lite前提で固定IPが設定できないって話 Sophos XG Firewall Home Edition入れてみたこれLinuxなのか ASUS ROG STRIX H470-I GAMINGとCore i5 10400を購入してそれに PCの中身ゲームとエロ関係くらいでFirewallなんていらないんだけど何となく WebAdminから初期パスワード変更したらHyper-V側でログインできなくて 詰んだかと思ったら@を使ったから英語キーボードで別文字になってたみたいだ OS:sophos xg firewall home edition CPU:celeron j1900 DIMM:4GB SSD:64GB NIC:intel製 4ポート 以上の構成で、OSインストールまでは成功しましたが その後、メインメニュー?(0〜9まで数字を入力する画面)まで推移すると、3分前後で一切の入力を受け付けなくなります。ping疎通も急にしなくなり、挙げ句の果てにnumlockのランプまで消灯します。 インストールメディアを新しく作ったり、OS再インストールも試しましたが、現象変わらず。どなたか原因がわかる方いらっしゃいますか? ポート他のとこに挿し替えてみるとか、うちの子はインストールするとポートが1-4全部逆になった。numlockはわかんぬ J1900で4ポートって事はRM01とかいうよくワカランメーカーのベアボーンかな ネットでは動作実績はちょいちょいあるけど、中古で良いならこれよか安くて(2万円前後)しっかりしたメーカーでSophosXGに抜群に向いた機器あるぞ xcyとかいうアダルトサイトみたいな名前の会社の、Amazonに大量にベアボーン出てるj1900 たしかに中古でマトモなの買うか、一万プラスしてshuttle製品買えばよかったと思う。燃えないか心配 309だけど、自分の分は確保したのでちゃんと書くと中古で、ってのはSophos XG Firewall 135の事 どういう経緯かは知らないが、2019年製以降のRev3が2万円前後でいくらか出てる んで2つ買ったけど、Home Editionがインストールできて、9つのポートを全て認識した(pingで確認) ただ物理ポート5から順にポート1〜9で割り当てられたけど 注意点として、そのままでは「正しい方法でリペアしろ」と出てインストール出来なかったので、ubuntsuを起動してddコマンドでゼロクリアしたらインストールできるようになった(最初はパラゴンのバックアップツールで抹消したり、パーティション切ったりしたけどダメだった) いきなり消すのが怖い人は、SATAのType2242を別に用意するのも手(TS64GMTS400Sが使える事も確認した) XG135Rev3はAtom C3558(4コア)のメモリ6GBだからHome Editionに最適だし、J1900よりは速いはず XGは実質パソコンだから色々できるな なんか一昨日くらいにSophos XGSシリーズなんてのが発表されてたんだな ついにXGシリーズも旧型かぁ XGS Home Editionは出るのかなぁ >>311 旧型だから在庫処分だろうね XG135だとデカいし高いし、SG105が数千円で出てるから自分はそっちを使ってる 数百円でメモリ増設すればv18以降も動く SG105かぁ 調べたら確かに安いし青筐体なのもいいな ちなみにXG135Rev3は、AtomC3558/RAM6GB/SSD64GBだったけど、SG105のスペックってどんなだった? あとXG135のNICはX553(4ポート分)、I211(4ポート分)、I210(SFPの1ポート分?)だった X553は確か、C3558の中にSoCとして組み込まれてるヤツだっけ 少なくともこの3つはXGの中にドライバが用意されてる模様 I219は確か対応してなくて、海外でも対応して欲しい声がコミュニティにあったな >>315 Atom E3826/RAM2GB/SSD60GB NICはi210 x4だね CPUはデフォルトで省電力機能切られてる BayTrailは省電力機能で消費電力変わらないのにレイテンシー悪くなるからだと思う XG105と同じ筐体だからもちろんXG入るけど、v18だとWeb画面が重い 通信はCPU余裕なんだけど、Javaのゴテゴテ管理画面のせいで起動まで10分かかる 管理画面重すぎるよな あっさりしたやつでいいから軽量化してほしい >>234 LAN側はULAだけど、OSのデフォルト設定だとIPv4の方が優先度高いからIPv4通信になってしまう。 アホな優先度設定だよな endian firewall communityedition 地味にセキュリティアップデート重ねてくれるのは嬉しい (UTMなんだから、逆にそれがなくなったら終わりだけど) が、もう4.0以上へのメジャーアップデートは しないんかな 製品版はどんどんバージョンをあげてきてるようだけど… >>319 i219がサポートかと思ったら、サポートしてクレクレという要望ね… もう通常PCで組むの諦めたからどうでもいいや Home用ならXG135で十分(と言うか過剰)だし XGS Home Edition出ねぇかな >>322 翻訳してかいつまんで見たけど、今後はXG/SGシリーズとXGSシリーズの2トラックでアップデートしていくのかね それぞれアップデートデータが違うっぽいし Xstreamフロープロセッサがどれくらいの効果があるのかワカランけど、今のXG135みたいにXGS系の中古がたくさん出回るといいな あー、でもXGS Home Editionが出ないと契約しなきゃ使えないか FW機能ぐらいしかまともに使ってないことに気づいて市販のルーターで十分じゃないかって思い始めた 自宅でUTM使うのって意味あんのかね 市販のルーターって民生用の無線ルーターか?それだとフィルタリングやDHCPサーバー、VPNの数の限界が少なかったりスペック不足が出たりするし RTXシリーズだとお高いし、コマンド面倒だし、フィルタリング定義の番号付けの管理も面倒だしでやっぱり使いづらい XG135の中古と比べてRTX830の中古は結構お高いし、ハードウェアのトラブルが起きた時、PCであるXG135の方が (途中送信してしまった) 対処しやすいってのもあるのよね まぁどこまで使い込むかにもよるんだけど あとUTMだから入れとくと安心感ある どっちを信頼するか?は単なる好みの話かもだけど個人的には民生用ルータは脆弱性への対応がずさんすぎて導入時に長期利用のめどに不安があるから自作PCでUTM 勤め先でずさんな機器使ってても自分個人への被害は限定的だけど自分個人宅はすべて自分の責任だから自分で工夫できる範囲で守りたいからUTMって感じ やりすぎかもだけど言うほど管理必要じゃないし高価でもないし >>324 SophosXGだと管理画面が重いから、SG105のハードにopnsense入れてる。 XG135ぐらいのスペックなら軽いだろうけどファンが付いてるのは自宅に無理だわ。 opnsenseだとwireguard使えたりと個人向け機能が充実してるから、FWしか使わない人にはいいかもね。 >>329 324だが俺もopnsenseに変えました guiが軽いしips機能もあるしwireguardも使えるから十分だね 惜しむらくは日本語の情報が少ないことぐらいか 代わりに公式のドキュメントとかが充実してけども Sophos XG Home でアプリケーションフィルタを適用したいのだが,どこで追加すればいいのやら. 設定する場所がRules and policiesの中で見当たらない・・・. XGS販売が始まったせいで、旧XGユーザーはライセンス更新不可になっとった いやいや切り捨て早すぎない?XGユーザーは強制買い換えかよ Sophos XG HomeでWANゲートウェイに設定してる10Gが必ず赤色になって非アクティブになってて糞 でも通信はできるんだよなあ もう一方の1Gのほうをバックアップにしてんのに、そっちだけ生きてる Sophos言語設定変えたら、ファクトリーリセットってどんな罠だよ・・・ 帰宅間際だったのに復旧で今まで徹夜だよ >>334 あるあるw 単なるリブートかと思ったら目ん玉飛び出たわ😳 そーいや俺もやったわ まだ本格運用前だから良かったけど、以後は最初に設定するようにした HUNSN RJ09 っていうHW(cores j6413)にopnsens/adguard/ntpng入れたんだけど超いいね nuroの2.5Gのトラフィックも大体2.1-2.2Gぐらいまで捌いてるしethをbridge(L2SW)としても使える 発熱がちょっとネック(触ると結構熱い)所が難点かな。 CPU使用率は大体10%-20%を推移してる SSLインスペクションまでやるってなるとメモリ32GBまで必要って聞いたんだけどマジ? --------------------------------------------------------------------- 測定日時:2022/11/02(水) 10:11:52 測定先:Speedtest 3 Server(10G) (IPv4) ダウンロード:2175.723 Mbps アップロード:866.889 Mbps Ping:9.90 ms Jitter:0.44 ms --------------------------------------------------------------------- Sophos XG Homeにログイン出来ない ここまでか read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる