2020年01月05日
Sophos Connect を利用してVPNを接続すると、以下の情報で接続されていました。

送信元: ローカルIP / ローカルポート
接続先: [グローバルIP] / 4500

・IKE
暗号化アルゴリズム: AES_CBC / 256
整合性アルゴリズム: HMAC_SHA2_256_128
擬似乱数関数: PRF_HMAC_SHA2_256
Diffie-Hellman グループ: MODP_2048

・IPsec
暗号化アルゴリズム: AES_CBC / 256
整合性アルゴリズム: HMAC_SHA2_256_128
Diffie-Hellman グループ: MODP_2048

速度もまったく気になりません。

stock_value at 17:40|この記事のURLComments(0)技術 
2020年01月04日
今回は前回の続きで、単純な設定変更です。
2020年01月03日: Sophos XG Firewall Home Edition でクライアントVPNを設定する

前回の設定では、トラヒックのすべてを VPN に送っていました。そのためWebを閲覧するときも自宅のネット経由になったのです。
これはこれで便利なのですが、他のネットワークに接続しているときにはうまく使い分けたいという場面があり、不便なこともありました。

例えば別な場所では 192.168.0.1 のサーバーにアクセスしつつ、VPN経由の 10.0.0.1 にもアクセスしたい場合などです。


先日インストールした、Sophos Coineect Admin を開きます。
Config ファイルを開きます。

Tunnel All の箇所がONになっているのですが、これを手動でOFFにはできないようでした。
Networks の下部に Add New となっている場所があるので、ここにネットワークアドレスを入力しました。
※私の環境では自宅のセグメント 10.0.0.0/24 としました。

入力すると、自動で Tunnel All のスイッチが OFF になりました。

この状態で保存し、Sophos Connect で設定を開きます。
これで接続をすると、10.0.0.0/24 のセグメントに対する通信はVPN経由となりました。
インターネット接続は現在のネットワーク環境から出て行きます。

stock_value at 11:26|この記事のURLComments(0)技術 
2020年01月03日
※この記事の通り設定をおこなっても、VPN経由の場合には、MTUの関係なのか、一部のサイトが閲覧できません。まだ未解決です。


XG では、Sophos Connect クライアント というソフトが用意されており、比較的簡単にVPN接続ができます。

ただし注意点もあって、Sophos Connect クライアントで接続設定はほぼできません。XGで接続情報を作成し、それをインポートして利用します。
接続先の設定は Dynamic DNS の設定を拾っているようです。この設定をおこなっていない場合にはIPになるのでしょうか。

・ゴール
Sophos Connect クライアント を利用して自宅のPCにアクセスできること
自宅のIPからインターネットにアクセスできること
VPN接続したPCのすべてのトラヒックをVPNに送ること(自宅内通信だけをトンネルに送ってもいいのですが、今回は全部とします。)


参考
Sophos XG Firewall: Sophos Connect クライアント

1. VPN接続ユーザーとグループの作成
認証 > グループから新しいグループを作成します。
ネット閲覧クオータ Unlimited Internet Access
アクセス時間 Allowed all the time
リモートアクセス・クライアントレス 設定値無し
そのほかの設定は有効にしました。

認証 > ユーザーから VPN接続を許可するユーザーを作成します。
グループは上記で作成したグループにします。
ネット閲覧クオータをここでも設定できますが、グループのポリシーを上書きするのでしょうか?

2. Sophos Connect クライアント 接続情報の設定
VPN > Sophos Connect クライアント にアクセスします。
Sophos Connect クライアント 有効
インターフェース WANポート
認証タイプ 事前共有鍵
ローカルID・リモートID 設定無し
許可されたユーザー 上記で作成したユーザー

クライアント情報
IP の割り当て先 LANインターフェースで利用しているセグメントから空いてるIPを割り当てます。
DNS サーバー 1 にルーターのLANインターフェースのIPを指定します。

ここまでやってから適用をクリックし、接続のエクスポートをクリックして設定ファイルをダウンロードします。

3. Firewallの設定
ファイアーウォールルールを追加します。
送信元ゾーンをVPN、宛先ゾーンをLAN にします。
※このフィルターでLAN内の機器にアクセス可能になります。

送信元ゾーンをVPN、宛先ゾーンをWANにします。
※このフィルターで、VPN接続した端末からインターネットアクセスが可能になります。

4. Sophos Connect クライアントのダウンロードとインストール
VPN > Sophos Connect クライアントからセットアップをダウンロードします。

scadmin は config ファイルの変更や修正のために利用します。が、私の場合には特に利用してません。設定値を確認するぐらいです。
SophosConnect が接続するためのアプリケーションです。

ソフトをインストールしたあとに、[2]でダウンロードした設定ファイルをインポートします。
あとは接続し動作を確認します。

※最初にも書きましたが、MTUの関係なのか、一部のサイトが閲覧できませんでした。
stock_value at 12:15|この記事のURLComments(0)技術 
2020年01月02日
前回までの記事も参考にしてください。
2019年11月04日: Sophos XG Firewall Home Edition のセットアップと基本的な設定(その2)
2019年11月03日: Sophos XG Firewall Home Edition のセットアップと基本的な設定

以前までの設定で、Sophos XG を自身で完全にコントロールすることが可能になりました。
次からは、この Firewall を自宅に持ち帰り、実際の環境でテストを行いたいと思います。

ということで、以下の設定に変更します。
1. WAN1ポート(PPPoE設定を行う)

2. LAN3ポートを利用する
→ LAN4については、WANポートとして利用。LAN1-3ポートについては、HUBとして動作するようにします。
※筐体は全部で4ポートあります。

管理画面にログインして、設定 - ネットワークにアクセスします。
Port4について、PPPoEの設定を入力します。
DNSはPPPoEから取得としました。

同じネットワークの画面から、インターフェースの追加をクリックし、ブリッジの追加を選択します。
名称は適当に設定し、Port1-3をブリッジします。
IPもここで当ててしまいます。
※この状態ではFWの設定により、ポート間の通信ができません。

DHCPタブから設定も行いました。


上記までの設定では、Port1に接続されている機器とPort2に接続されている機器が通信できません。
ということで、以下の設定を行います。

保護 - ファイアウォールからルールの追加を行います。
ルール名は適当に設定し、ルールグループは、 Traffic to Internal Zones に追加します。
送信元をLANとし、宛先も同様にLANとします。
これでLAN-LAN間の通信が許可されるようになります。

今回の場合には特にフィルターの必要もないので、コンテンツスキャンなどはすべて無効としました。
これで私の自宅では以下のように配線をおこない問題無く動作しています。

Port1 NAS
Port2 無線AP
Port3 PC1台
Port4 WAN

ギリギリポートが足りました。

stock_value at 20:06|この記事のURLComments(0)技術 
2019年12月18日
QNAPをドメイン環境で利用しています。
社内のちょっとしたサーバーであるため、パスワード認証なしで運用していました。

あるときから、そのサーバーにアクセスできなくなってしまいました。
エラーを見ると、タイトルの通りです。
「組織のセキュリティ ポリシーによって非認証のゲスト アクセスがブロックされているためこの共有フォルダーにアクセスできません」

調べてみると、最近のWindowsからそのようになっているようです。SMB2を利用するときにゲストアカウントでのアクセスを拒否しているようです。

とりあえずグループポリシーにて、以下の通り設定を変更しました。
ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレート > ネットワーク > Lanman ワークステーション

この設定値を有効にしました。

参考
「組織のセキュリティ ポリシーによって非認証のゲスト アクセスがブロックされているためこの共有フォルダーにアクセスできません」エラーの対応方法
Windows 10の「組織のセキュリティポリシーによって非認証のゲストアクセスがブロックされているためこの共有フォルダーにアクセスできません。」を解決する方法

stock_value at 12:18|この記事のURLComments(0)技術 
2019年12月17日
NIコラボというグループウェアがあります。かねてより利用しており、非常に便利です。
スケジュール機能については、 google カレンダーと連携することが可能です。

しかしgoogleのカレンダー連携については昔と異なって、かなり複雑になりました。

google calendar api という機能を利用することになるみたいです。
そしてこのAPIですが、基本無料ですがアクセス数が膨大になると有料になるようです。
現時点では、1日あたり1,000,000クエリだということです。

NIコラボでは、初期設定から1時間ぐらいの利用で400リクエスト=クエリーぐらいでていました。
初期設定時のみたくさんクエリーが利用されるようで、その後は定期的に7クエリぐらいで落ち着いています。
仮に1日あたり1,000クエリだったとしても、1ヶ月分を考えると課金までには到達しないように思われます

stock_value at 11:27|この記事のURLComments(0)技術