【UTM】統合脅威管理スレ
>>169
繰り返しにはなるが
まずはルータのIPアドレスからcentos鯖の514番ポートへ通る設定に出来てるのか
UTMの設定を再度確認汁 >>170
う〜ん、レスしてくれるのはありがたいんですが・・・
syslogに関する、UTMの設定が分からないから、使用してるUTMを>>165で書いて質問しています 業務で必要ならコンサル雇う手もあるけどソレではいかんの?w 家庭でUTMを使う人は居ても、家庭でコンサル雇う人は少ないかと せめてこう設定しましたとか設定画面のスクショ貼るとかすればイイのになと思うわ
カワイクナイヤツw >>174
具体的な設定内容を書いてますよ?
>>167
> ネットワークプロテクション―NAT―新規NATルールから
> ルールタイプ:DNAT、トラフィック送信元:ルータ(192.168.0.1)、サービス;SYSLOG(514)、
> トラフィック宛先:Internal(172.16.0.0/24)、変更後の宛先:syslogサーバ esxiでデータストアはSSDにして
debianでsamba動かしてるんだけど同じセグメントだとwindowsのエクスプローラの表記で100MB/sec以上出るけどXGfirewall越しの別セグメントにすると5MB/secまで落ち込んだり40MB/secだったり不安定になる
さすがに5MB/secは落ちすぎよね Sophos XG使ってる人でMTAモードのスパム使えてる人居る?
いくら設定してもマルウェアは駆除できてもスパムメールはじかないんだけど。。
SMTP隔離も機能してくれないしなんでなんだろ。 Celeron j1900でsophos xg使ってる人いる?
XCYってとこが出してるミニPCに入れたいのだけどもまともに動くか心配なので うちは1.5GHz2コアのセレロン3205Uで問題なく動作しているからJ1900は無問題じゃない sophos xgのvpnスループットってどのぐらいかね 家庭内でXGfirewall通してセグメント越える時スループットをなるべく維持するには何か調整するべきところある? 余計なチェックしない。
ポリシー先頭に持ってくるとか? セグメント越えるトキにUTMに何も仕事させないコトだよな Sophos Firewall XG Home Editionを有料でいいから公式でサポートして欲しい
年間12,000円くらいなら払えそうだけど
個人利用と区別が付きにくいSOHOでの利用も出来たらさせて欲しいと思うけど communityでイイじゃん>Sophos XG Firewall Home Edition >>189
SOHOならNTTのBizBox UTMのSonicwallじゃない奴でも、、、って高いかw auひかりの環境でSophos XGを導入したのですが、
IPv6の設定をどうしたらいいか全く見当がつきません
WAN側のインターフェイスはDHCPv6からアドレスを拾えていて、
tracertもgoogleまでとおっているのですが、
LAN側のPCが一つもIPv6のアドレスを取得できていません。
XGでDHCPv6を立ててみようかと思って、ネットワーク>DHCP>IPv6の設定に入ったのですが、
インターフェイスの選択欄が空欄で、構成できないようです。
どなたか知恵をお貸しください。 RAってなにかなと思ったらRouter Advertisementか LAN側のRAの項目に適当に設定をしてみたら、
LAN側の機器にIPv6が振られて、LAN無いでの通信はできるようになりました。
ただ、>>138を入れてみても外部への通信はできていないようです。
XGでRAアナウンスをするのではなく、auのHGWからのRAを通過させるべきなのかな
とは思いつつも、設定方法が全く見当つきませんでした。
untangleもEndianも試したのですが、何とか実用できそうな気配を感じたのはXGなので
もう少し頑張ってみたいとは思います。これがだめならpfsense入れて全部主導で構築
しないといけないのかな? 私はauひかりだけどipv6で通信できてますよ。ipv6は最低限度の接続にしたいので、スタティックで1台だけip振ってますけどね。 >>196
HGWとxgの設定晒してくれないでしょうか?
自分もxg配下のホストからv6でインターネットに出たいです。 ぐぬぬSophos Firewall XG Home EditionのVPNの設定がよくわからん
これができればお金かけずにUTM通した通信ができるはず >>198
Sophos Connectだと、以下のようつべが参考になるかな
#昔のCisco ipsec
https://www.youtube.com/watch?v=-QfZmW5U1vU
このプロトコルを使う場合は、ルーター側でESP(ipプロトコル50)、IKEのudp500とudp4500を通す必要があるよ Sophos XG FirewallでV6プラスを試してみて、IPv4のみのV6プラス通信はできるようになった
(単純に上流にRT-500MIがあってV6プラスが繋がるから、下流のUTMとスタティックIPで繋げただけ)
しかしここから先、下流のクライアントからIPv6の通信まで出来るようにするにはどーしたらいいのやら
特に困る事があるわけではないけど、どうせならIPv6の通信もしたいものだ
UTMを無視してRT-500MIと繋げばIPv6通信できるんだけどもいやはや
苦肉の策でブリッジモードを構築してみたけど、ブリッジモードだとDHCPサーバー機能が使えなくなるしなぁ
RT-500MIのDHCP機能はあまり良くないし Sophos XG Firewallだと確かDHCP-PD対応してないと思うからブリッジしかないんじゃないかと うーん、そっか
ブリッジモードだとDHCP使えなくなるから、SophosXGでIPv6は相性悪そうね
V6プラスにしても大して速くならなかったし(むしろ遅い事も)、ポート開放が面倒になるし
IPv6は発展途上でややこしい仕様だらけだし(何年議論してんだ)
自分が現役の間はIPv4が主流のままだな…と感じたので従来のPPPoEで運用するのがベストな気がしてきた
今はSo-netだけど@niftyの頃は酷すぎる遅さだったので、そういう人にはV6プラスはいいのかもね そもそも速度求めるならSophos使うという選択肢はないんじゃないか? @nifty V6プラスにしたら600M余裕になったよ まとめ
赤:リーヴ、伝承エリウッド、ベレス
青:伝承エフラム、伝承ルキナ、ピクニックルカ
緑:伝承ヘクトル、ユンヌ、ヒルダ
無:伝承リーフ、ロキ、カイネギス
ロキはかなりのまさかだったな >>201
XGのIPv6の考え方は一般的なものとは異なる。
LAN側のIPはプライベートIPで、WAN側に対してはNATが必要。
IPv6のプライベートIPは、ユニークローカルアドレスを使う事になる。
この定義は、fc00::/7だが、実際にユーザが利用すべきはfd00::/8。
40ビットのランダムな16進数を用いて
fdxx:xxxx:xxxx::/64〜fdxx:xxxx:xxxx:ffff::/64までを使う事になる。
細かい話はともかく、自分の端末のNICのmacアドレスを用いて、以下のURLで
設定すべきULAを導く事ができる(必須ではなく、あくまで守るべきルール)。
https://cd34.com/rfc4193 (続き)
XGはブリッジモードではなく、ルータモード前提で設定する。
ネットワークのWanインターフェース(恐らくPort2)でIPv6のDHCPを選択するとともに、
DHCPから他の設定の承認のチェックボックスをOnにする。
まず、WAN側は、RT-500MI(自分はauなので、この機械は全く知らないが)からv6のIP割り当ては
行えていると思う。XGの診断メニューからPingでipv6.google.com宛にpingが通る事を確認してほしい。
次に、LAN側のIP(恐らくPort1)のIPv6は前述したスタティックでIPを設定する。
XG自身のアドレスとしてfdxx:xxxx:xxxx::1/64 とする。プレフィックスはとりあえず64で良いのではなかろうか。
次はDHCPの設定。追加ボタンを押す。
IPv6を選択し、インターフェースのプルダウンでは、fdxx:xxxx〜のIPが選択できると思う。
DNSについては、XG自身のDNSを設定し、fdxx:xxxx:xxxx::1を指定しておく。
次に、IPv6ルーターアドバタイズド(RA)を選択し、追加ボタンを押す。
ここでは、インターフェースはプルダウンからPort1(LAN側)を選択。
マネージドフラグ(M Flag)はOff、アザーフラグ(O Flag)はOn、デフォルトゲートウェイも有効に。
プレフィックスは、先ほどのIPのfdxx:xxxx:xxxx::を入力する。 (続き)
あとは、Firewallルールのところで、IPv6の設定で全て許可するルールを作る。
IPマスカレードはデフォルトのMASQを使えばよい(別に作成する必要はない)。
基本はこのような設定でIPv6の通信は可能になる。
但し、RAでのIPアドレスの確定は、端末を特定できないという問題がある。
恐らく、201氏はUTMに期待する事として、IPSの設定もしているだろうから、SSLインターセプトのために、
ルート証明書をインストールできる端末とできない端末とで区別する必要があるだろうとは思う。
そうなると、M FlagをOnにしてDUID(端末固有情報)を元に、端末を区別したくなる。が、IPv6の実装として
一時IPアドレスとかのややこしい話が出てきてしまい、うまく端末管理が出来ない。
長くなったので一旦はこの辺で。 >>210
感謝!確かにipv6で通信できました! >>210
うおぉ、知りたかった事が一気に書かれてて感謝しかない
ホントにIPv6は調べれば調べるほど不可解な仕様だよなぁ…と思う
まして今もまだ新しい仕様や機能を加えているようだし
詳しく解説してくれて本当にありがとう!
きちんとメモ取ってやってみるよー v6の基本仕様はとっくの昔から変わってない
すでにv6は君が思っているより広い範囲で、既に、使われている (XGのIPv6の続き)
さて、IPSで端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態だと、ネットワーク>DHCPでIPv6のリース状態が分かるが、 さて、IPSでSSLインターセプトを使うには、端末を固定する必要があると書いたが、M FlagがOff、O FlagがOnの状態において、ネットワーク>DHCPでIPv6のリース状態を参照すると、
IPv6の端末について、DUIDがリストされると思う。DHCPv6の設定でDUIDマッピングによるIPv6のアドレスを固定で設定可能なので、
固定IPアドレスとDUIDの組み合わせを登録しておくと、DUIDを元にした固定IPが配布可能となる。次に、IPv6ルーターアドバタイズドの設定で、M FlagをOn、O FlagをOnとし、
アドバタイズ設定のプレフィックスの項で記載されている「匿名」のチェックを外す。これで一時IPアドレスは割り振られず、端末に1つの固有IPv6が割り当てられる。
Win10、iPhone、mac、Linuxについては配布されるIPの管理が可能になり、IPSの管理も捗ると思う。残念ながらAndroidはDHCPv6に対応してないので、この設定を行うとIPv6の設定がうまくいかない。
はっきりいって、ここまで面倒な事をやるなら、RAやDHCPは使わず、最初からStaticでIP設定した方が良いのかもしれない。
いろいろ余計な事を書いたが、頑張ってチャレンジしてほしい。何かのお役に立てれば。
(何度か書き込みミスってしまい、皆には申し訳ない) Sophos Firewall XG Home Editionにログイン出来ない
ウィルス対策も機能してない
サービス終了してますか? SOHOで仕事用のデータアップロードしたりしてるので規約違反判定されたのかな
どちらにしても全くの素通り状態だ
やっちゃたかなこれは 無償ツールとしてまだ配布されてるしダウンロードもできるのに
ウィルス対策が機能していないというより全部機能してない
規約違反ですねたぶん
そうかこうなるのか家庭用有償版UTMください
たまに仕事に使うぐらいの UTM二台とも死んでる
警告やなんかがメールでくるんじゃなく削除されるんだ
まあこちらのやらかしたこと文句は言えません
いままでありがとうございました UTM再起動させたら普通に機能しました
スレ汚し失礼致しました ホントに素通り状態だったら無償とはいえ、UTMとしては致命的じゃん。 二台ともなので何かの理由で再起動が必要だったみたいです
私も使い始めていままで経験してない初めての状態だったので焦りました
スルーしてたのは何日かわかりませんがこの程度なら大丈夫です 某国家プロジェクトで採用されていたからねぇアプライアンスはwその為か日本語マニュアルしっかりしてるよね。 仕事で使ったかどうかまで判定するなんて高度なプログラムすぎんだろ
さらに通信内容全部チェックして送信してるなんてUTMは嫌すぎんぞ
自宅でHomeEdition導入してるけど、職場ではさすがにXG135をちゃんと購入した
単品で100万くらいしたけど、RED50買えば安価に別拠点もUTMの恩恵受けられるのは良かった
それ以前は拠点毎にオンボロUTM(設定も何もできないブラックボックス)置いてすげー金かけてたようだし… あ、ところでHyper-VでSophos XG Firewall Home Editionを導入してるけど
HDDの割当ってどのくらいにしてる?
とりあえず20GB割当にしたけど、これ超えてくる事あるかな
VHDXの実使用量が解れば良いんだが…それかGUI上かコンソールでHDD使用量を確認できれば ゴメン、自己解決
GUIの監視&分析 ⇒ 診断 ⇒ システムグラフ から見れたのね
パーセント表示だけど、25%を上回った事ないから、5GB未満、という考えでいいのかな SOPHOS通すとデフォルトだと出来ない通信がありますね
Officeのインストールやアップデートとかエラーになる
他でもアプリが通信出来ませんでしたってなる
LANを繋ぎ直してその時だけ直接通信させてます
Officeなんてそんなに怪しい通信じゃないでしょうにね 確かにOffice2019でアップデートできないのは確認してるけど
わざわざ繋ぎ替えなくても、ファイアウォールで全スルー通信設定作って
そこに一時的にアップデートしたいPCを登録すりゃいいんじゃないか
アップデートが終わったら外せばいいし
物理線をいじるのは面倒でしょ 手の届くところにあるんで
設定いじるより抜き差しの方がはやい ID:eBamDK/X
は神だ。ipv6通信できるようになった。
追加で教えてほしいです。
同じURLで、ipv6アドレスを持ってるなら、v4よりv6を優先する方法。
今のままだと、ipv6で通信出来るけど、普段の通信は全部ipv4。
上部ネットワークがipv6通信出来るとちょっと悲しい… クライアントにV6のDNS設定されてる?
Windowsならば変更していなければv6通信がv4よりも優先なので外までV6通るならそれくらいじゃないかな? >>232
返信ありがとうございます。
因みに上部はV6プラスです。
クライアントのV6DNS設定は問題なさそうで、XGで設定したipv6 DNSがipconfig/allで表示されているのを確認。
気になるのは、ipv6宛先にping飛ばすと1回目だけタイムアウトして、2回目以降pingが飛ぶ症状が出ているのが気になっています。
又、下記サイトで接続確認すると、「あなたのブラウザは動作するIPv6アドレスを持っています - しかし利用が回避されています。私たちはこの点を憂慮しています。」
って、表示されて、理由が「ipv6で接続した際に、ブラウザが1/3以上ipv4より遅い事が原因という記載有」
最初のpingがタイムアウトしてるのと何か関係あるのではないかと…
https://test-ipv6.com/index.html.ja_JP
どなたか分かる方ご教示お願いいたします… >>233
Windowsで何かのきっかけでIPv6優先でなく、IPv4優先になってしまった可能性。
コマンドプロンプトから「netsh interface ipv6 show prefixpolicies」を実行、::/0(IPv6)の優先順位が(::ffff:0:0/96)IPv4より高い(優先順位の数字が大きい)こと。
>IPv4の優先度が高いなら「netsh interface ipv6 reset」で一度リセットするか、「netsh interface ipv6 set prefixpolicy」コマンド等を調べてみてほしい。
あと、クライアントのDNSはXGのIPを指していますか?それともプロバイダのDNSを指していますか? とっても素人な質問なんですが
UTM9でLan内の特定PCだけインターネットに接続不可ってできますか?
Win7で使ってた設定とかファイルとかまだ移行できてないので
Lan内同士は通信したいのでインターネットだけ止めたいです
エロい人、よろしくお願いします ファイアウォール>ルール>新規ルール
>送信元(接続不可PCのIPアドレス)/サービス(Any)/宛先(PPPoE Network)/アクション(破棄)でON、
ソート順を最上位にしても何事もなくインターネットに繋がっちゃいます
どう設定すればLan内のみWan接続不可にできますか? >>236
やっぱり具体的な設定は存じ上げず、できる気がするってところだったのでしょうか? sophosのxg入れてGoogleの追跡ブロックとか過剰通信のブロックで助かってるけど、geforceのexperienceがアップデートしてないのに気がついた
webの例外リストにアップデートサーバのホスト名やIPアドレス入れてもブロックされるし、ファイアーウォールのルールで送信元IPだけ入れて他の項目全部任意で許可設定してもダメ、難しい
どなたか指定したIPアドレスを無条件に許可する方法教えてください! >>240
システム->ホストとサービスでIPホストを追加
保護->ファイアウォールで、先のIPホストを宛先にして、許可ルールを追加 >>241
ありがとうございます!
とはいえそれでも結局ダメだったので、手動DLしてきました。
別ソフトのアップデートも止まってる、禿げそう・・・
Webの例外に入れてもファイアウォールに入れても443ブロック、HTTPSだからいけそうなもんなのに
TCP443 blocked
メッセージ:Could not associate packet to any connection
検索したらコミュニティに似たような事象結構あったのでちょっと調べてみます xgでvpn使ってるけどくそ遅いし数分でほぼ通信出来なくなる
ログにbadtcpchecksumって出てるけどこいつのせいかもわからん
設定間違ってんのかなぁ 最近の流行りはwireguardってやつらしいですよ。
xgでのvpnと比べて2倍くらい早くなりました。 icmpは通るけどtcpがほとんど通ってない感じ
キャプチャするしかねえな >>244
興味あるけどxgで一括でやったほうが楽かなと
別でvpn鯖建てるならソフトイーサでいいや >243
L2TPだったらconsole入ってshow vpn configurationでL2TPのMTU が1410のままだったりしない? >>247
MTUは1410のままだけどフラグメント云々のレベルじゃなく通信出来ない…
と思ってたらesxi側の不具合(ストレージドライバの相性)直したら直った
なんやねんこれ… Sophosのページから
sophos antivirus for linuxがなくなったぞ
サービス終了らしいが、お前ら何に移動する?
Microsoft Defenderしかまっとうなの選択肢なさそうだがw >>249
ググったら普通にページ出てきたぞ?
あとここはUTMのスレだから若干スレチかな
でももし本当にsophos antivirus for linuxがなくなったら困るなー
Linuxってまともなアンチウイルス製品ないんだよなあ… Sophos UTM Essential Firewall
指示に従い、ユーザー登録して、
ライセンスファイルが、メールにて届けられたが、
ダウンロード先の記載がなくて、ダウンロードできないです。
誰か、わかる人いますか? ライセンス発行する時に承諾押したら自動ダウンロードされた気がするけどなぁ 上のURLから、登録しても、できないんですよ。
探していたら、vectorにありましたが、これが、該当物でしょうか?
https://www.vector.co.jp/vpack/browse/person/an052974.html
SoposUTM_EF.zip
先ほど、ダウンロード終わりましたので、確認してみます。 vmwareにいれて、起動しました。
ネットワークカードが、なぜか認識しなかったけど、
インストールまでは、完了しています。
ライセンスキーを入れないと、sophos UTMとして30日間動作するそうです。 >>254
あーなるほど、どうやらHTML形式でメール受信するとメールの下半分が切れちゃってるみたい
vectorのなぜかアスタローがアップロードしているのでもいいけど、
一応正式なDLリンク貼っとくね
https://www.sophos.com/ja-jp/support/utm-downloads.aspx
下の方に重要な記載があるから、メールをテキストベースで開いて味噌
※参考
---------------------------------------------------
添付されている Sophos UTM Essential Firewall ライセンスファイルを、「管理 >> ライセンス」でアップロードします。
MyUTM 個人アカウント
アクティベーションリンクより、アカウントをアクティベートしてください。
アクティベーションリンク:(URL)
アクティベーションの有効期間: 24 時間
---------------------------------------------------
ネットワークカードはVMで仮想インストールするならカードの品番気にしなくても表示されるはずなんだけどなぁ
単純にネットワークアダプタを設定でいれてないとかない?(最低2個必要) >265
HTML メールが切れてるのか、了解
ちょっと、対応してみます。 esxに入れたxgに4本目のIF追加しようとesxからnic追加して起動したらどのネットワークとも繋がらないし追加したnicにxgのコンソールのnetwork configurationからip設定もできない(表示されない)
show network interfaces叩くとPort4として出てくるけどなんやねんこれ
esxで追加したnicを削除して再起動したらネットワーク繋がるようになる
追加したnicはesx内の仮想マシン同士の通信で使うのでesx側でアップリンクは設定してない
homeだとIF数に制限あったりする?
何か設定見落としか >>259
解決したのかな…?
4ポートの筐体にハードインストールした時、port1から4が全部番号逆転した事あった
バグなんだろうなぁて思いながら使ってるけどVMだと簡単にネットワーク変更できないから大変よね >>260
二個目の投稿の
XG Home Edition on ESXi 6.7 with 4+ vNICs - NICs order
と全く同じっぽい
投稿内容を見て
nicをE1000する(E1000eだとダメだった)とOK
その後の投稿の内容も試してみて
In ESXi go to Edit VM -> VM Options -> Advanced -> Edit Configuration
Then switch values for ethernetX.pciSlotNumber parameters to reorder NICs. For my case (6 NICs) following fixed the ordering issue:
の部分を試したらVMXNET3でも問題なくなった Sophos XGでブリッジモードできた人いますか?
セットアップ時にブリッジモード→セットアップ後、GUI接続不可
ゲートウェイモードでセットアップして、インターフェースからブリッジ追加→やっぱりGUI接続不可になる
Liva Zのesxi上でやってます 下流側のLANポートにPC繋いで、ホームゲートウェイかルーターがLivaに割り当てているIPアドレスをブラウザに入力してみたら >>262
セットアップ後のipアドレスをcui画面で確認してみて、初期ipアドレスが変更かかって別のに変わってると思う。 >>263
ありがとうございます!
GUIに繋がりました!
ただ、Ipアドレスを自動で取ってきてくれない&インターネットにつながらないですね…
ファイアウォールの設定はLAN→WAN許可
WAN→LAN 上位のルーター(DHCP)を許可
となっているんですが… >>265
アンカー間違えました…
>>263 さんでした >>264
ブリッジでセットアップも試してみましたが、やはりIP取得できない&インターネットつながらないですね・・・
診断でPing飛ばしてみたら上位のルーターにすらつながらないみたいです。 ホームゲートウェイかルーターの操作画面でLivaへの割り当てIPアドレスを固定にした方が後が楽ですよ。
下流側PCはLiva-PC間でローカルな関係ができてしまって、ローカルIPアドレスやDNSがおかしくなってないですか。192.168.1.2だったのが192.168.24.1とか。
XGはipv4とipv6で双方向なんでもありルールで動作確認してから制限ルールを足していくのがいいのではないでしょうか。 >>268さんの言う通りホームゲートウェイかルータでxgのip割り当てちゃうのがいいと思う
セットアップする度にipアドレスの自動取得で変更されてる可能性もあるし >>268
ありがとうございます!
家に帰ってからルーター側でLivaのIP固定してみます!
ルーター側でIP固定できたんですね。いつもPC側で固定でしたので知りませんでした。 >>268
>>269
ルーター側にMACアドレスを設定してみました!
LivaがルーターからIPが割り当てられてるのを確認して、
FWの設定をLAN→WAN、WAN→LANをすべて許可したんですけどつながらず・・・
LANにPCつないで確認したらIPアドレスを自動で取得できないですね。
手動で固定したらGUIにはつながるもののインターネットにはつながらず・・
DNSに繋がらないってエラーが出てました。 ブリッジ解除してWANとLANを設定すると何も問題なく繋がるんですけど
何がいけないのかが分からないですね・・・ pcへのip割り当てはルータの機能じゃなくてもxgのDHCP機能で割り当てればいいからあまり気にしなくていいと思う
DNSに繋がらないでGUIに繋がるならLAN側は問題なさそう、WAN側(インターネット側)はport2に挿さってる?初期はport2じゃなかったっけ 管理コンソール(GUI)>設定>ネットワーク
インターフェースタブ
・ここでメンバーインターフェースの確認が想定通りになっているか
・IPv4・ネットマスクがrouterで割り当てたIPアドレスになってるか
・ゲートウェイIPがルータのIPになってるか
WANリンクマネージャータブ
IPv4ゲートウェイでWANの状態が確認可能、ステータスは緑であること
DNSタブ
DNS1]がrouterのIPアドレスになっているか
思いつく限り見てみた、LANWAN間の許可入れなくても初期設定だけで使えるはずなんだけどなぁ >>273
WANはPort2に刺さっていますね。
いろいろ調べて
管理→アクセスリストのチェックボックスをWANとLAN全てチェック入れたり、FWのルールにLAN-LANの通信許可したんですけどだめでした…
ブリッジ解除するとインターネットにつながるので、ブリッジの設定に問題がありそうなんですけどなかなか情報が無くて… >>274
WANリンクマネージャータブのステータスが赤以外は問題ありませんでした。
赤になる原因がわからず…ゲートウェイのipはdhcpで取ってきているので問題ないと思うのですが。。。 >>275
ブリッジににしたらってことは、ネットワーク>インターフェースで、インターフェースの追加>ブリッジの追加した時のかな
それでいいなら自分はbr0で作って
このブリッジペアでルーティングを有効化する:チェック無し
メンバーインターフェース
Port1:LAN
Port2:WAN(多分Port1に変更してもいける)
Port3:LAN
Port4:LAN
IPv4設定
スタティック、他はFWとrouterのIPアドレス
で作ってる
>赤になる原因がわからず…ゲートウェイのipはdhcpで取ってきているので問題ないと思うのですが。。。
ゲートウェイIPは玄関口だからdhcp関係なく固定、router自信のIPアドレスが必要で、192.168.0.1とかじゃないかな >>277
アドバイスどおりやってみました!
インターフェース追加でブリッジ追加
Port1-LAN
Port2-WAN
ルーティングのチェックボックスチェックなし
IPv4
スタティック
IPv4/マスク 192.168.0.10/24(FWのIP)
ゲートウェイ 192.168.0.1(上位ルーターのIPアドレス)
…繋がりませんでした…うーん… >>278
ESXiですよね?
vSwithの無差別モードを「拒否」から「承諾」に変更してください >>279
おおおお!
繋がりました!!!!
ありがとうございます!
すごく助かりました! 繋がったのはいいんですけど今度はWAN側からLAN側PCへのリモートデスクトップがつながりません・・・
ホストとサービス>IPホストで接続先PCを登録して、ファイヤーウォール設定でWAN→LAN(接続先PC)を許可
LAN(接続先PC)→WANを許可したんですけどダメ見たいです・・・
今のネットワーク図はこんな感じです。
[Internet] - [ルーター(DHCPサーバ)192.168.0.1/24]
|
ー [FW(LIVA Z)192.168.0.2] - [接続元PC]
|
[ルーター(DHCPサーバ)192.168.1.1/24]
|
[接続元PC] >>281
図がずれていました。
[Internet]
|
ー [ルーター(DHCPサーバ)192.168.0.1/24]
|
ー [FW(LIVA Z)192.168.0.2] - [接続先PC]
|
[ルーター(DHCPサーバ)192.168.1.1/24]
|
[接続元PC] telnetとかでパケットが行ってるかどうか確認してみ
接続先pcではwiresharkとかでパケットキャプチャして
届いてなければ途中のFWのログを確認 接続元PC→FWまでは繋がるんですけど、そこから接続先PCがNGみたいです。
接続先PCも同様に接続先PC→FWはOKでそこからルーターにはつながらないですね・・ ESXiのLAN側の仮想スイッチの無差別モードを承諾にしたらつながりました!
FWの設定を色々変えてるので他にも要因があるかもしれませんが報告まで。 みなさんXGは18にあげました?
必要最低RAMが4GBになっちゃったので自分は17で維持するつもりです。。。
SSLインスペクションの機能が向上したらしいので上げたいのは山々なんですけどねー 先月末にXG 18.0.1MR-1に上げた。
新しいDPIエンジンは確かに体感で速くなった気がするよ。
SSLインスペクション機能はDecrypt率がリアルタイムで表示されるなどダッシュボードの見た目も良いので使いたくなる。ただ自宅はIoT機器が予想以上にトラブってしまったので今はOFFにしている。心配していたメモリ使用量はV17で46%→V18.0.1で56%だった。(ESXi6.7で6GB割り当て)
良かったところをあげておくと、
・ON/OFFの切り替えが一カ所でできわかりやすい(トラブル復旧が迅速)
・例外登録がワンクリックで行ける。ドメイン、サブドメインもその場で選択可。
あたりかな。
とはいえワンクリックで登録できるURL例外が128個まで(別の例外グループに移動させれば追加することは可能)とちょっと少ないのと、トラブル発生後の対応になるので後手の対応となることは否めない。次バージョンではRadwareみたいに学習モードを実装してもらえると嬉しいかも。
V18でSNMPが変わってしまって、いままでのZABBIXテンプレートではメモリ使用率が拾えないなど(MR-4で修正予定?)細かい点で非互換はあったが、いまのところ概ねバージョンアップは満足っす。 >>289
サンクス
やっぱメジャーバージョンアップだけあって色々向上してるんですね〜
関係ない話だけどXGの代わりにopnsenseってやつを使おうと構築してみたんですが、
clamav使ってのマルウェア解析動かしたらメモリ使用率が爆上がりしてしまったので結局XGに戻りました。。。 XG Firewall を使っているのですが、外向け通信で通信ポート番号を変える事って可能でしょうか?
例えば相手のリッスンポートが変更不可でポート1000を指定(数字は適当)
こちらのアプリもポートを指定した通信は不可能で、相手にポート1000で通信しようとする
ファイアウォールの設定で、外の特定のグローバルIPへポート1000の通信をしようとしたらポート2000に変更する
相手は通常のポートフォワードでポート2000で受けた通信はポート1000に変えて相手に届ける
なんて事が出来ればなぁ…と思うのですが…どうなんでしょう 自己解決
SSL-VPNでテストをしてましたが、ファイアウォールの設定で
送信元ゾーン:LAN、許可されたクライアントネットワーク:すべて、ブロックされたクライアントネットワーク:なし
宛先ホスト/ネットワーク:相手のグローバルIPv4、転送タイプ:ポート、転送済みサービスポート:2000
保護されたサーバー:相手のグローバルIPv4、マップ済みポートの種類:ポート、マップ済みポート:1000(宛先ポートの変更にチェック)
保護されたゾーン:WAN
既知のユーザーに一致:チェック無し
詳細設定は全部無し設定
で、無事にポート1000しか許可していない相手にポート2000でSSL-VPNに繋ぐ事ができました
これでV6プラスの開放ポート制限がかなり緩和できる…
こちらでポート変換してるから、相手に何かしなくて良いし xgを再インストールするために設定の事前バックアップを取っておいたのだが
再インストール後にバックアップから復元しようとしても失敗する
原因はインターフェイスの数だった
再インストール前は3つの仮想インターフェイスを付けていたのだが再インストール後は2つだけだったため失敗した模様
3つに増やすと普通に成功
一応備忘録として XG135が職場にあるからサポートに聞いた事があるけど、復元先のインターフェースがバックアップのインタフェースより少なくなる場合は復元できないと回答もらった事がある
逆にバックアップのインターフェースが少ない場合は復元できるってさ
XG135は8ポートあるから、8ポート未満の機種には復元できない 仕様だったのか
せめてエラーメッセージで原因を出してくれればよかったんだけどね… 19日にSophos XG Firewall Home EditionのVPN設定をオンラインでレクチャーしてくれるのに
皆さん応募されましたか?
すぐに参加はきめたんですがIPoEの回線はポートが使えないからできないのかもしれないけれど
やり方は参考になるんで期待しています SSL-VPNもIPsecも教わらなければならないほど難しいもんではないしなぁ…
他社とのIPsec接続例を網羅してくれたら助かるけど、SophosXG同士のIPsecは設定項目が同じだから何も迷うところないし
それ以上をレクチャーしてくれるとも思えない @niftyでIPoEでのVPN接続サービスをしてたのに辞めちゃってから
VPNはウィルス対策ソフトベンダーのを使って家に接続してXGFWでのVPNは諦めていたんだけれど
調べてみると当然にIPoE使用してても使える方法があるんですね
自分にはちょっと敷居が高いから来年法人化時につかえるならそれでいいんですが 言ってる事がよーワカランが、XGでのSSL-VPNなんてクッソ楽だぞ?
ワンタイムパスワードでも運用できるし、ポート変更も自由だから、V6プラス回線とかでも使える @Niftyならば、IPOEとPPPoE追加料金無しで併用できるから、VPNだけPPPoE側にすれば無問題 俺はVPN以前にv6プラス固定IPが使えないのでルーターを別に用意した
DS-Liteが使えるならと思ったけど、トンネル設定にv4固定IPを設定できない仕様だった v6プラス等の動的共有IPv4アドレスってPPPoEと違って再接続してもまず変わらないからDDNSすら不要
そしてXG Firewallの標準機能であるSSL-VPNは接続先のアドレスやポートも変えられるので、固定専用IPじゃなくてもちゃんと使えるぞ それは知ってるけど、そもそもIPIPトンネル機能はあってもDS-Lite前提で固定IPが設定できないって話 Sophos XG Firewall Home Edition入れてみたこれLinuxなのか
ASUS ROG STRIX H470-I GAMINGとCore i5 10400を購入してそれに
PCの中身ゲームとエロ関係くらいでFirewallなんていらないんだけど何となく
WebAdminから初期パスワード変更したらHyper-V側でログインできなくて
詰んだかと思ったら@を使ったから英語キーボードで別文字になってたみたいだ OS:sophos xg firewall home edition
CPU:celeron j1900
DIMM:4GB
SSD:64GB
NIC:intel製 4ポート
以上の構成で、OSインストールまでは成功しましたが
その後、メインメニュー?(0〜9まで数字を入力する画面)まで推移すると、3分前後で一切の入力を受け付けなくなります。ping疎通も急にしなくなり、挙げ句の果てにnumlockのランプまで消灯します。
インストールメディアを新しく作ったり、OS再インストールも試しましたが、現象変わらず。どなたか原因がわかる方いらっしゃいますか? ポート他のとこに挿し替えてみるとか、うちの子はインストールするとポートが1-4全部逆になった。numlockはわかんぬ J1900で4ポートって事はRM01とかいうよくワカランメーカーのベアボーンかな
ネットでは動作実績はちょいちょいあるけど、中古で良いならこれよか安くて(2万円前後)しっかりしたメーカーでSophosXGに抜群に向いた機器あるぞ xcyとかいうアダルトサイトみたいな名前の会社の、Amazonに大量にベアボーン出てるj1900
たしかに中古でマトモなの買うか、一万プラスしてshuttle製品買えばよかったと思う。燃えないか心配 309だけど、自分の分は確保したのでちゃんと書くと中古で、ってのはSophos XG Firewall 135の事
どういう経緯かは知らないが、2019年製以降のRev3が2万円前後でいくらか出てる
んで2つ買ったけど、Home Editionがインストールできて、9つのポートを全て認識した(pingで確認)
ただ物理ポート5から順にポート1〜9で割り当てられたけど
注意点として、そのままでは「正しい方法でリペアしろ」と出てインストール出来なかったので、ubuntsuを起動してddコマンドでゼロクリアしたらインストールできるようになった(最初はパラゴンのバックアップツールで抹消したり、パーティション切ったりしたけどダメだった)
いきなり消すのが怖い人は、SATAのType2242を別に用意するのも手(TS64GMTS400Sが使える事も確認した)
XG135Rev3はAtom C3558(4コア)のメモリ6GBだからHome Editionに最適だし、J1900よりは速いはず
XGは実質パソコンだから色々できるな なんか一昨日くらいにSophos XGSシリーズなんてのが発表されてたんだな
ついにXGシリーズも旧型かぁ
XGS Home Editionは出るのかなぁ >>311
旧型だから在庫処分だろうね
XG135だとデカいし高いし、SG105が数千円で出てるから自分はそっちを使ってる
数百円でメモリ増設すればv18以降も動く SG105かぁ
調べたら確かに安いし青筐体なのもいいな
ちなみにXG135Rev3は、AtomC3558/RAM6GB/SSD64GBだったけど、SG105のスペックってどんなだった?
あとXG135のNICはX553(4ポート分)、I211(4ポート分)、I210(SFPの1ポート分?)だった
X553は確か、C3558の中にSoCとして組み込まれてるヤツだっけ
少なくともこの3つはXGの中にドライバが用意されてる模様
I219は確か対応してなくて、海外でも対応して欲しい声がコミュニティにあったな >>315
Atom E3826/RAM2GB/SSD60GB
NICはi210 x4だね
CPUはデフォルトで省電力機能切られてる
BayTrailは省電力機能で消費電力変わらないのにレイテンシー悪くなるからだと思う
XG105と同じ筐体だからもちろんXG入るけど、v18だとWeb画面が重い
通信はCPU余裕なんだけど、Javaのゴテゴテ管理画面のせいで起動まで10分かかる 管理画面重すぎるよな
あっさりしたやつでいいから軽量化してほしい >>234
LAN側はULAだけど、OSのデフォルト設定だとIPv4の方が優先度高いからIPv4通信になってしまう。
アホな優先度設定だよな endian firewall communityedition
地味にセキュリティアップデート重ねてくれるのは嬉しい
(UTMなんだから、逆にそれがなくなったら終わりだけど)
が、もう4.0以上へのメジャーアップデートは
しないんかな
製品版はどんどんバージョンをあげてきてるようだけど… >>319
i219がサポートかと思ったら、サポートしてクレクレという要望ね…
もう通常PCで組むの諦めたからどうでもいいや
Home用ならXG135で十分(と言うか過剰)だし
XGS Home Edition出ねぇかな >>322
翻訳してかいつまんで見たけど、今後はXG/SGシリーズとXGSシリーズの2トラックでアップデートしていくのかね
それぞれアップデートデータが違うっぽいし
Xstreamフロープロセッサがどれくらいの効果があるのかワカランけど、今のXG135みたいにXGS系の中古がたくさん出回るといいな
あー、でもXGS Home Editionが出ないと契約しなきゃ使えないか FW機能ぐらいしかまともに使ってないことに気づいて市販のルーターで十分じゃないかって思い始めた
自宅でUTM使うのって意味あんのかね 市販のルーターって民生用の無線ルーターか?それだとフィルタリングやDHCPサーバー、VPNの数の限界が少なかったりスペック不足が出たりするし
RTXシリーズだとお高いし、コマンド面倒だし、フィルタリング定義の番号付けの管理も面倒だしでやっぱり使いづらい
XG135の中古と比べてRTX830の中古は結構お高いし、ハードウェアのトラブルが起きた時、PCであるXG135の方が (途中送信してしまった)
対処しやすいってのもあるのよね
まぁどこまで使い込むかにもよるんだけど
あとUTMだから入れとくと安心感ある どっちを信頼するか?は単なる好みの話かもだけど個人的には民生用ルータは脆弱性への対応がずさんすぎて導入時に長期利用のめどに不安があるから自作PCでUTM
勤め先でずさんな機器使ってても自分個人への被害は限定的だけど自分個人宅はすべて自分の責任だから自分で工夫できる範囲で守りたいからUTMって感じ
やりすぎかもだけど言うほど管理必要じゃないし高価でもないし >>324
SophosXGだと管理画面が重いから、SG105のハードにopnsense入れてる。
XG135ぐらいのスペックなら軽いだろうけどファンが付いてるのは自宅に無理だわ。
opnsenseだとwireguard使えたりと個人向け機能が充実してるから、FWしか使わない人にはいいかもね。 >>329
324だが俺もopnsenseに変えました
guiが軽いしips機能もあるしwireguardも使えるから十分だね
惜しむらくは日本語の情報が少ないことぐらいか
代わりに公式のドキュメントとかが充実してけども Sophos XG Home でアプリケーションフィルタを適用したいのだが,どこで追加すればいいのやら.
設定する場所がRules and policiesの中で見当たらない・・・. XGS販売が始まったせいで、旧XGユーザーはライセンス更新不可になっとった
いやいや切り捨て早すぎない?XGユーザーは強制買い換えかよ Sophos XG HomeでWANゲートウェイに設定してる10Gが必ず赤色になって非アクティブになってて糞
でも通信はできるんだよなあ
もう一方の1Gのほうをバックアップにしてんのに、そっちだけ生きてる Sophos言語設定変えたら、ファクトリーリセットってどんな罠だよ・・・
帰宅間際だったのに復旧で今まで徹夜だよ >>334
あるあるw
単なるリブートかと思ったら目ん玉飛び出たわ😳 そーいや俺もやったわ
まだ本格運用前だから良かったけど、以後は最初に設定するようにした HUNSN RJ09 っていうHW(cores j6413)にopnsens/adguard/ntpng入れたんだけど超いいね
nuroの2.5Gのトラフィックも大体2.1-2.2Gぐらいまで捌いてるしethをbridge(L2SW)としても使える
発熱がちょっとネック(触ると結構熱い)所が難点かな。
CPU使用率は大体10%-20%を推移してる
SSLインスペクションまでやるってなるとメモリ32GBまで必要って聞いたんだけどマジ?
---------------------------------------------------------------------
測定日時:2022/11/02(水) 10:11:52
測定先:Speedtest 3 Server(10G) (IPv4)
ダウンロード:2175.723 Mbps
アップロード:866.889 Mbps
Ping:9.90 ms
Jitter:0.44 ms
--------------------------------------------------------------------- Sophos XG Homeにログイン出来ない
ここまでか