2021年2月 – ページ 2

我が家のデフォルトゲートウェイは長らくEdgeRouter-Xに任せていたんですが、最近パケットロストかスループット低下が目に余るようになりリプレースしようかなの機運が。

いきなり信頼と実績の国産ルータYAMAHA RTXとかNEC IXとかに手を出そうかとも思いましたが、まずはEdgeRouter-X自体の性能不足なのかどうかを見極めるためにパワフルな物理マシンの上で仮想アプライアンスを使って切り分けしてみようと。それでもダメなら足回りのフレッツ回線の問題だし、改善したらEdgeRouter-Xのパワー不足だとはっきりするしね。

で、Sophos様はすごくて個人利用(ホームユース)であればSophos UTM/Sophos XG Firewallを無償提供してくれます。ネットワークエンジには自宅環境で思う存分使い倒して、ビジネス利用の時には是非FortigateやCheckPointでは無く、Sophosを選んでね！っていう心意気だと思います。すごい。

Sophos XG FirewallとSophos UTMの違い

UTM Firewall を Sophos XG Series または UTM 9 へアップグレード| Sophos UTM ソリューション
https://www.sophos.com/ja-jp/lp/utm-upgrades.aspx

ざっくりいうと、前からあったSophos SGシリーズのUTMと、買収してきた新しめのSophos XGシリーズのFirewallという感じ。

うちの環境では最初にSophos UTMを試してみたんですが、IPv4 over IPv6な構成を作れなくて、Sophos XG Firewallに早々に乗りかえました。

Sophos UTM = IPIP6トンネルに非対応？メニュー上は設定出来そうにない。Transix(DS-Lite)が利用出来ないのでNG。
Sophos XG Firewall = IPIP6トンネルに対応。WebUI上でぽちぽちすれば設定出来た。複数のトンネルを設定しておいてロードバランスするといったことは出来ない感じ。

Sophos UTMとSophos XG Firewallの動作環境

Sophos UTMのほうが動作環境としてはゆるめですが別なページを見てると保護対象のIPアドレスが50個までという制約があります。

Sophos XG Firewallは保護対象のIPアドレスの制約や機能制限は特になく、ただCPUが4コア、メモリが6GBまでしか利用出来ないという制限が付いてます。実際にはここに抵触するほどの多数のクライアントが接続してきたり、コンテンツフィルタリングを利用することは「一般のご家庭」では無いと思います。

Sophos XG Firewall Home Edition
Software appliance can be installed on a dedicated Intel™ – compatible PC.
Intel compatible computer with dual network interfaces. (Any previous OS or files on the computer will be overwritten when installing the XG Firewall Home Edition)
Home Edition is limited to 4 cores and 6 GB of RAM. The computer can have more than this, but XG Firewall Home Edition will not be able to utilize it.
Sophos UTM Home Edition
Software appliance can be either installed on a dedicated Intel™-compatible PC or within a virtual machine.
Virtual appliance can be run directly in any VMware vSphere Edition.
https://support.sophos.com/support/s/article/KB-000034600?language=en_US

Sophos XG Firewall Home Editionの入手

Sophos XG Firewall Home Edition
https://www.sophos.com/ja-jp/products/free-tools/sophos-xg-firewall-home-edition.aspx

Sophos XG Firewall用の仮想マシンの作成

Windows Admin Centerで仮想マシンを作ったときの設定をぺたり。

メモリは6GB上限であるが、実際には8GBくらいまでは物理割り当ての要求をしてきたので多めに。

内蔵ハードディスクの量はお好みで。ログとかたくさんとっても128GBは使い切れない気がする。

ネットワークアダプタの設定は、1個目がLAN側、2個目がWAN側となるようにする。(そしてWindows Admin Centerだとそれが分かりにくいｗ)

あとは仮想マシンの電源を入れてISOからインストールを行っていく。

Sophos XG Firewallのインストール

特に何かを指定することもなく1個目のハードディスクに問答無用でインストールされる。

インストール中は特に何も入れることはない。
(Installing Firmwareと出てるが実際はLinuxベースのOS起動環境がまるごと作られて書き込まれている＝ファームウェアのバージョンアップやダウングレードも同じプロセス)

インストール完了の図。ビープ音が鳴る実機だとここで”エリーゼのために”が最大音量で流れてる。

https://twitter.com/imksoo/status/1358745149765918720

Port1 (LAN側) はデフォルトだとStatic IP指定。勝手にDHCPサーバになったりしない安心感。

Port 2 (WAN側)はデフォルトでDHCP Clientで動的にIPアドレスを拾ってくる。

お好みに応じてLAN側のIPアドレスを設定していく。※管理用WebUIのログインIPにもなる

後は管理用WebUIにログインして進めていく。

タイムゾーンの設定。ファイアウォールルールの中で時間帯に応じた設定が出来るので間違えないようにする。(平日日中帯は禁止、みたいなルールがかける)

続きの初期セットアップは別ページで。

ゲストユーザーを Active Directory に Writeback してみる – その 1 https://note.com/shmiyaza/n/n978fcc156f3e に書かれているスクリプトを実際に手元環境で動かしてみました。

大まかな流れは上記のブログに書かれている通り＋スクリプトのZIPファイルに添付されているPDFファイルの手順書に従って出来たのですが、いくつかエラーが発生したので回避手順をメモしておきます。

New-ADServiceAccount で「キーが見つかりません」(Key does not exist)エラーが出る

New-ADServiceAccount : Key does not exist https://social.technet.microsoft.com/Forums/ie/en-US/82617035-254f-4078-baa2-7b46abb9bb71/newadserviceaccount-key-does-not-exist?forum=winserver8gen のこのコメントに従って対処しました。

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Install-ADServiceAccountで「アクセス権がありません」(Access Denied)エラーが出る

Group Managed Service Accounts – Install-ADServiceAccount returns “Access Denied” https://social.technet.microsoft.com/Forums/en-US/16eb477a-85ce-4daa-8087-3c23e7dc5c41/group-managed-service-accounts-installadserviceaccount-returns-access-denied?forum=winserver8gen に従って対処。

Set-ADServiceAccount TestgMSA -PrincipalsAllowedToRetrieveManagedPassword SRV01$