趣味のプログラム工房

Sophos XG Firewall

Sophos XG Firewallの性能 ソフトウェア版

Sophos XG Firewall のソフトウェアアプライアンス版を使っていますが、
性能があんまりでないのが悩み。

Linux上にVirtualBoxをインストール(ネットワークの関係で、VirtualBoxが一番使いやすい)して使っていますが、遅いんですよね。。。
ファイアウォールの設定を、すべて許可にして一番軽くしてみても300Mbps程度しか出ないんですよね。


普通に作成した、linuxのVMとはちゃんと1Gbpsの速度が出るので、Virtualboxによるオーバーヘッドはほぼないので、Sophos FWのパフォーマンスが出ていないという結論。
CPUの割り当てを増やしてみても効果なしなので、何が問題なのか。。。


2021年01月03日


VirtualBox ネットワーク性能

2.5GbEのNICが手に入ったので、VirtualBox上に構築しているルータ兼FW(sophos FW)で利用できるのか実験。

うまくいけば、2.5GbE対応ルータ・SWが構築できるともくろんでいたのですが、、、
そもそも、VirtualBoxでのネットワーク性能が低すぎて検証ができず。

PC間直結だと、2Gbps以上の速度が出るのですが、
FW(virtualbox)を通すと、360Mbps程度となってしまう。。。
仮想ではなく、物理で組まないとだめなのかな。
ただ、それだとドライバの問題的に、2.5GbEのNICが使えない可能が高く、
なかなか試せない状況です。

一応、アダプタータイプは、準仮想化ネットワーク (virtio-net)を選んでいますが、そこまで性能は上がらず。(他と比べると、2割くらいは早いが)
2020年10月11日


Sophos XG Firewall v18へバージョンアップ(v17.5から)

我が家では、Linux PCにVirtualBoxを入れて、
その中で、Sophos XG Firewallを動かしているのですが、
v17.5からv18にバージョンアップしたとたん起動しなくなったorz

どうも、VirtualBoxで設定している、3番目のネットワークインタフェースが設定されれていると起動しない現象を確認しました。
通常、Sophos XG Firewallでは2インタフェース以上を設定が必要で、
1インタフェース目がLAN、2インタフェース目がWANとなるのですが、
我が家では、3インタフェース目にDMZを設定しています。

詳しく状況を調べると、問題の3インタフェース目のドライバに、
「Intel PRO / 1000 MT Desktop」を設定している場合は起動しないが、
「準仮想virtio-net」を指定すると、起動も認識もしているが、全然データが流れない状況に陥りました。
(2インタフェース目にも同じものを設定しているため、ドライバの問題ではないと思う。。。)


結局、うまく使えなかっ為、17.5に戻しました。。。

もうちょっとこなれてからバージョンアップすることにします。


2020年09月22日


無線LANルータ用OS

Sophos XG Firewallにて自作のルータ兼FWを作成しておりますが、
どうせなら無線ルータ機能も欲しいところです。

無線LANルータ(Wifiルータ)を作るためのOSってなかなかないんですよね。
そもそものところで、ハードウェア的なハードルが高いと思っています。


以前、USBタイプのWifiアダプタを購入したので、普通のHDDにインストールしたSophosFWにさして使おうとしましたが当然のように認識しませんでした。
、、、そもそも、ドライバCDにもwindowsとMacOSはあったけど、Sophosなんてありませんでしたしね。

ですが、Linux+VirtualBox+Sophos XG Firewallの組み合わせであれば、
無線LANルータを作ることができました。

上記の場合、Linux上に無線LANのAP(アクセスポイント)を作り、
VirtualBox上で、Sophos XG Firewallのインタフェースとして認識させてあげれば、Sophos XG Firewallでそのインタフェースを使うことができます。
Sophos XG FirewallではあくまでもLANの1つとしか見えないので、Wifiの設定とかはできないですが。
(ちなみにHyper-V server2019では無線LANをサポートしておらずできなかった。)



LANインタフェース豊富なルータ用PC
2019年09月30日


Hyper-V Server 2019にSophos XG Firewallをインストール

AMD B450/Athlon 220GEのマシンに、Sophos XG Firewallが直接インストールできなかったので、Hyper-V Server 2019にインストールすることにしました。

Sophos XG Firewall用にintel ギガビット 2ポートのNICを用意しました。
インテル PRO/1000 PT デュアルポート サーバ・アダプタ EXPI9402PT

マザーボードのNICと合わせると3ポートです。

3ポートあるので、
1ポート目をFWのWAN
2ポート目をホストと、FWのブリッジでLANとしました。
3ポート目はDMZ的な、低セキュリティのネットワークとしました。

インストール自体は、特別なことはないです。


とりあえず、Sophos XG Firewallをインストールするなら、実機より仮想環境のほうが断然おすすめです。
NIC関係がホスト側でサポートされるので、Sophos XG Firewall側で特別なドライバの設定とかが不要になります。
逆に、ホスト側でサポートされてないNICは使えないのですが。。。


それを考えると、Hyper-V Serverという選択肢は微妙かも。
というのも、Hyper-V Serverでは無線LANが使えないからです。
なので、Sophos XG Firewallがルータの代わりにはなりますが、無線LAN APの代わりにはなりそうもありません。残念。

ハイパーバイザーではないけど、Linuxとかに乗せ換えようかな


2019年09月23日


Sophos XG Firewall をAMDのマシンにインストール

Sophos XG Firewall のインストールに失敗しました。
インストールが最後まで実行されません。
unable to install firmware.」となります。
環境は、
AMD Athlon 220GE
ASUS PRIME B450M-A

以下を見ると、B450のマザーで失敗しているという事例があります。
https://community.sophos.com/products/xg-firewall/f/initial-setup/110210/unable-to-install-firmware---new-install-of-sophos-xg
AMD、もしくはチップセットと相性が悪いのかなと。

仕方ないので、何か仮想マシンとして動かす予定。
とりあえず、VirtualBoxは実績があるので、Linux上でうごかすか、
Hyper-Vをインストールして試してみるか考え中。
2019年09月17日


Sophos XG FirewallでYahoo Mailが使えない

我が家ではSophos XG Firewallを導入しているのですが、ファイアウォールの設定がなかなか難しい。

その最たるものが、Yahoo Mailが使えないという問題。
ファイアウォールにて、すべての通信が対象(任意)で、
ユーザーアプリケーションの設定も
侵入防御、トラフィックシェービング、Webポリシー、アプリケーションコントロールもすべて「なし」にしてるんですがYahoo Mailのウェブページが使えない。。。


結論から言うと、
「Webポリシー」の設定が悪かった。
Webポリシー「なし」はどうもよろしくないみたい。
少なくても、「デフォルトポリシー」程度にしておけばOKみたいです。



個人なら無料で使えるのに、これだけ品質高いのはいいですね!
最近は、ひかり電話解約したため、ただのONUに成り下がったNTTの光ゲートウェイの代わりに、PPPoEルータとして使っていますが、まあ、まあ、便利かなぁ。

一通りのことはできますし。。。でも設定が結構めんどくさい。


超高速USB 3.0 to RJ45 ギガビットイーサネットアダプタ10/100/1000 Mbps

家のパソコンの仮想マシンにSophos XG Firewallを入れて使ってますが、
NICが足りないので、これで追加して使ってます
2019年02月26日


Sophos XG Firewallアップデートしたらエラーが出た

Sophos XG Firewall(ソフトウェア)を個人利用で無償で使っているのですが、最近、ファームウェアのバージョンを17に挙げたところ次のエラーが、、、

Your device is not able to connect with the Customer My Account server since the last 75 days. If the device fails to synchronize for 15 more day(s), it will be deactivated. Please {vrclicklink} to synchronize manually.

75日間アカウントと同期されてないので、あと、15日同期されないとととと、、、
という内容です。
というわけで、書かれているように「管理 - ライセンス - 同期」から同期を行いますがエラーになって同期ができません。

調べてみると、再インストールが回復手段らしいです。。。
仕方ないので、設定のバックアップを取って再インストール。

一応復活です。
結構古くからある現象らしいですが直らないんですかね。


LANが2つついててルータ用に最適!
2018年02月06日


Sophos XG Firewallが不安定なので冗長化

LinuxのVirtualBox上でSophos XG Firewall使ってみてますが、週1以上でインタフェースが死ぬ。

Sophos XG FirewallのVMを再起動すれば、一時的に復活するのですが、割とすぐにまた死ぬ。たまたまなのかホスト側に原因があるのか。
あと、割り当てHDD 10GBは少ないのかな? CPUは余裕ありそう。
メモリも3GB割り当ててちょうどよさげな感じなので、ほんとならもう少し増やして余裕がほしいところ。。。。

まあ、それとして、ネットワークが落ちるのは避けたいのでSophos XG FirewallのVMを増やして冗長化することにしました。

追加したVM分はとりあえず、HDDは25GBに増やした。

とりあえず、VMに割り当てるNICを3つに増やして、「内部ネットワーク」でゲスト同士をつなぐ。
冗長化の設定自体は割と簡単でした。
あとは、HAピアの設定をするだけでほとんど終わり。
ゲストマシンを落として切り替わることを確認したので特に問題なさそう。

Sophos XG Firewallを使うなら冗長化すべきですね。
ただ、ホストのメモリがヤバい。足りない。足りない。足りない。


Sophos UTM

2017年03月12日


Sophos XG FirewallでVPN接続

外出先から家のネットワークへつなぐため。Sophos XG FirewallVPNの設定をしてみました。

とりあえず、androidで使うことを想定して、L2TP/IPSecを設定、、しようと思いましたが、よくわからない。IPSec接続もさっぱり。
というわけで、結局OpenVPNによる「SSL VPN」で行うことにしました。

これは、設定が簡単で、クライアント側の設定も「User Portal」から設定ファイルをダウンロードして、OpenVpnでインポートするだけ。
の、はずなのですが微妙にうまくいかない。

WAN側(インターネット)には普通にアクセスできるのですが、LAN側にはアクセス不可というわけのわからない状況。
ルーティングもちゃんとできているはずだし、原因不明。
いろいろ試してみたのですがお手上げ!

というわけで、最終的にはSophos XG Firewallによる、VPNは断念。


ホストのLinux Mint側にて、「Softether VPN」による、VPNを組むことにしました。
とりあえず、それで目的は達成できましたが、、、Sophos XG FirewallVPNの使いにくい! 以上!


Linux MintでSoftether VPN
2016年12月11日


次へ