趣味のプログラム工房

Sophos XG FirewallでVPN接続

外出先から家のネットワークへつなぐため。Sophos XG FirewallVPNの設定をしてみました。

とりあえず、androidで使うことを想定して、L2TP/IPSecを設定、、しようと思いましたが、よくわからない。IPSec接続もさっぱり。
というわけで、結局OpenVPNによる「SSL VPN」で行うことにしました。

これは、設定が簡単で、クライアント側の設定も「User Portal」から設定ファイルをダウンロードして、OpenVpnでインポートするだけ。
の、はずなのですが微妙にうまくいかない。

WAN側(インターネット)には普通にアクセスできるのですが、LAN側にはアクセス不可というわけのわからない状況。
ルーティングもちゃんとできているはずだし、原因不明。
いろいろ試してみたのですがお手上げ!

というわけで、最終的にはSophos XG Firewallによる、VPNは断念。


ホストのLinux Mint側にて、「Softether VPN」による、VPNを組むことにしました。
とりあえず、それで目的は達成できましたが、、、Sophos XG FirewallVPNの使いにくい! 以上!


Linux MintでSoftether VPN

2016年12月11日


VirtualBoxにSophos XG Firewallを導入

無償の仮想アプライアンス製品「Sophos XG Firewall」を自宅のサーバの
Linux MintのVirtualBoxに入れてみることにしました。

対象のマシンには物理的に、LANポートが2つあるので、
LAN側のポートをport1、WAN側のポートをport2として、仮想マシンを設定。
port1はブリッジ接続でホストとゲストで共用。
port2もブリッジですがホストでは無効にして、仮想マシン側(Sophos XG Firewall側)のみ使用。

あとは、Sophos XG Firewallのインストール。


インストール後は、WEBの管理画面から設定をしていくのですが、
デフォルトのIPアドレスが「172.16.16.16」に設定されており、使いにくいため、コンソールで、先にネットワークの設定をします。
初期パスワードは[admin]。

アドレスについては、当初、LAN側も、WAN側も同じ、192.168.1.0/24にしようと思ったのですが、うまくいかなかったので、結局FWをルータ代わりにして、ネットワークを分けることにしました。


IPアドレスの設定完了後、WEB画面へアクセスして、ウィザードに従い初期設定。
今回は、ブリッジモードで設定しています。
基本これで動くはず!
だったのですが、動かない。インターネットに出れない。

ファイアウォールの設定でNATを入れると通るということから、
うーん、、、まさか!と思って、ルータに対し、192.168.2.0へのルーティングを設定したらうまくいきました。
これくらいのルーティング自動的に設定されないんだ、、、。
あとは、ポリシーの微調整ですね。
マルウェアスキャンは、FTPとHTTPを設定、HTTPSを入れると、いろいろなサイトで動きが怪しくなるのでやめました。

まあ、そんな感じでしょうか。

回線速度も(1時14分現在)でインターネットとの接続で72Mbps出ており、速度ダウンはない印象。
とりあえず、しばらくこれで運用してみよう。

2016年12月05日


Sophos 無償のUTM・ファイアウォール製品!

最近、仕事でUTM製品について調べていたのですが、、、Sophosで無償のUTM(ソフトウェア)があるのを知り自宅に導入してみよう!と思った次第です。
OSイメージが提供され、仮想マシンや物理マシン等で動かすことができます。

無償であるSophos UTM Home Editionを導入しようと、Sophosのサイトへ行ったところ、Sophos XG Firewall Home Editionなんて製品もあるんですが、、、どっちがいいの?と。

名称的には、UTM>Firewallなわけですが、はっきりしたことは結局わからなかったのですが、どうも、Sophos XG Firewallの方が新しそう。
それに、Sophos XG Firewall自体もFirewallだけというわけでなくUTM製品ということで、Sophos XG Firewallの方を導入することにしました。

その為に、今回、「GIGABYTE GA-H170M-D3H」、「Celeron G3900」、
さらに、LANポートを追加するため「AREA ジーノ2世 ギガビットLANカード」を準備しました。(ブリッジモードで動かすため、NICが最低2つ必要)
今回、VirtualBox(ホストはLinux Mint)の仮想マシンとして動かすので、
物理ポートは1つで、ハブでLANとWANの線を分ければもよかったかもしれませんが、、いろいろ怪しいので、正攻法でNIC二つとしました。
別途ハブを準備するのも面倒ですし。

というわけで、次回、インストールです。



2016年12月04日


CORESERVERお引越し

このサイトとか、VALUE-DOMAIN(GMO)の共有レンタルサーバサービス「CORESERVER」を利用しています。
今まで、「CORE-A」というプランを利用していましたが、維持費の削減のため、「CORE-MINI」へ移行することにしました。

ファイル自体は、サーバ間コピーでOKだったのですが、ちょっと引っかかったのがDBの移行。
最初、MySQLのphpMyAdminでエクスポートしたデータを、新しいDBでインポートしたらいけるかな?と思ったのですが、うまくいかなかった。
Create databaseで怒られた。。。
エクスポートデータには、Create databaseから入ってるのか、、、

で、結局どうしたかというと、dumpファイルを作り、それを利用することで解決しました。
管理画面のデータベースのメニューの一番下に、「全DBをバックアップ保存」というボタンがあり、それを押すと、ルートディレクトリに、dumpファイルが作成されます。
「CORE-A」で作った、ファイルを「CORE-MINI」へコピーして、「CORE-MINI」で復元を行うことで解決しましたがここでもちょっと問題。

「CORE-A」のほうでは、出力ファイルが「mysql_アカウント名_データベース名」となっているのに対し、「CORE-MINI」のインプットは「mysql_データベース名」とする必要がありました。

あとは、DNSを変更し、ドメインウェブの設定を入れて終わり。



2016年11月28日


Net::UPnP::ControlPoint 不具合、、、

うちのサイトで公開している「MediConWEB」にて、

PCを入れ替えに伴い、MediConWEBをセットアップしている最中に、
Perlの「Net::UPnP::ControlPoint」モジュールに不具合があり、全然使えない問題が発覚しました。

古いPCでは使えていたのになんで使えなくなったんだろう。。。

3時間ほどperlのデバックモードでデバックした結果、
/usr/local/share/perl/5.22.1/Net/UPnP/ControlPoint.pm
の96行目の「$http_req = Net::UPnP::HTTP->new();」で落ちているようです。
どうも直前の「$dev_port」に空が入るとエラーになるらしい。
Net::UPnP::HTTPの不具合かな?

とりあえず、
if ($dev_port eq ""){
next;
}
でからの場合はスキップすることで回避出来ました。
まあ、環境に依るきがします。

2016年11月21日


前へ 次へ