へっぽこインチキエセシステム管理者の管理人です。
さて、ここ10日くらい・・・
仕事の関係で先日からマイナンバー関係のVPN装置(ファイアーウオール)の更新に関して・・・
設定ファイルが上手く入らず悪戦苦闘していましたが・・・
ようやくその原因が分かり対処方法が判明しました。
ちなみに、国のサポートセンターや役に立たず・・・
ほぼ自力で解決です。
国のマニュアルが100%間違っているわけでは無かったのですが・・・
罠が仕掛けられていたというのが結果です。
機種は【SPHOSのXGS107】です。
状況確認
さて、改めて状況を再確認ですが・・・
VPN装置の交換手順は次のとおりです。
- 現行のVPN装置の画面を見ながら設定をマクロ付エクセルに入力する
- マクロ付エクセルから設定ファイルを吐き出す
- 新VPN装置に設定ファイルを読み込ませる
以上です。
しかし、マニュアルのとおりに実行すると、
特定の条件で新VPN装置の設定画面にアクセスできなくなります。
国が仕掛けた罠とは?
分かってしまえば、単純なことなのですが・・・
なかなか巧妙な罠がし仕掛けられていました。
現行VPNの交換時もほぼやり方は同じだったのですが・・・
マクロ付エクセルから吐き出された設定ファイルには、
LAN1ポートからWEB設定画面にアクセスできるアクセスコントロールリストが記載されていたのですが、
新VPN装置の設定ファイルからは、
LAN1ポートからWEB設定画面にアクセスできるアクセスコントロールリスト消されていました。
このため、LAN1ポートからWEB画面にアクセスできなくなるわけです。
VPN装置の大まかな設定図は次のとおりです。
LGWAN回線 -セグメント1- 新VPN装置 -セグメント2- 番号法FW -セグメント3- 自治体側LAN
です。
マクロ付エクセルには、確かに新VPN装置へアクセスできるネットワークアドレスの記載項目があるのですが・・・
マニュアルではここには、現行のVPN装置の設定をそのまま入力するように書かれています。
ただ、上の設定図のとおり・・・
VPN装置の設置後は・・・
一般的にセグメント3からアクセスするため、現行のVPN装置にはセグメント3のネットワークアドレスが設定されています。
しかし・・・
新VPNの設定段階では・・・
セグメント2から設定するので・・・
エクセルから吐き出された設定ファイルを読み込むと・・・
セグメント2からのWEB画面へのアクセスが拒否されるわけです。
また、SOPHOSのFWへの設定反映が変わっていて・・・
設定ファイルを読み込ませると、まずLAN1のポートのIPアドレスが設定値に変更されます。
また、その段階では、設定用にLAN1に接続したパソコンからWEB設定画面にアクセスできます。
そこから・・・
ログを見ていると・・・
順番に1行ずつ、設定ファイルが反映されていくのが見えるのですが・・・
順番に設定が反映されていき、
あるタイミングで、
WEB設定画面にアクセスできるアクセスコントロールリストが読み込まれると
その時点で、アクセスできなくなるわけです。
※一見するとフリーズしたように感じます。
解決方法
で、最終的な解決方法ですが・・・
その1
新VPN装置 ー ヤマハ等のルーター ー パソコン
※家庭用ブロードバンドルーター(NATやNAPTのもの)はダメ
という面倒くさい環境を揃えて・・・
パソコン側のネットワークアドレスを仮説で前述のセグメント3に設定する方法です。
その2
エクセルから吐き出された設定ファイル(tar)を解凍し、
中のXMLファイルを直接編集し・・・
アクセスコントロールリストの行に・・・
<host>internal</host>
を追加する。
その3
現行VPN装置を見ながらエクセルファイルを作る時に・・・
そのままコピペするのではなく、
新VPN装置へアクセスできるネットワークアドレスの記載箇所に、
とりあえずLAN1のネットワークアドレスを記載しおき、
設定ファイルを流し終わってから、
WEB設定画面からアクセスコントロールリストを追加する。
このいずれかになります。
この罠を回避できる自治体職員ってどのくらいいるのか不思議です。
管理人は10日くらい掛かりました。
国のサポートセンターも教えてくれませんし。
ただ、前述のセグメント3からアクセスしないと設定できないと回答は貰ったは貰ったのですが・・・
それをするには・・・
ブログランキングにご協力ください!
新VPN装置の設定段階で、現行のVPN装置を外して付け替えないと、
設定が継続できないので、現実的には無理なんですよね。
現行VPN装置と新VPN装置でLAN1のIPアドレスが重複しているので・・・
しかも回答も不親切で・・・
【前述のセグメント3からアクセスしないと設定できない】とだけメールが来るだけで、
説明や理由も全くないので、余計に混乱するわけです。
今回解決までに時間が掛かった理由
さて、今回解決までに時間が掛かった理由ですが・・・
まず、現行のVPN装置を見ながらエクセルファイルに入力するのは、
別の者がやっていました。
このため、管理人は渡された設定ファイルをそのまま流し込んだだけなので、
エクセルファイルの中身を全く知りませんでした。
※WEB画面へのアクセスコントロールリストの項目さえ知らなかった。
また、現行VPN装置は、LAN1からでもWEB設定画面にアクセスできたことから余計に混乱した。
ただ、エクセルファイルを作るマニュアルも60ページを超えており、
マニュアルどおりに現行のVPN装置から転記するだけでも、相当時間が掛かりるので、
エクセルの各項目がどんな働きをするのか理解しながら作成するのは非常に困難。
ですので、要注意な箇所は、もっと丁寧な説明が必要で・・・
現行のVPN装置のWEB設定画面へのアクセスコントロールリストに、
LAN1のネットワークアドレスが記載されていない場合は、
LAN1のネットワークアドレスを記載し、設定ファイルを流し込んだ後で、
改めて、WEB設定画面から、アクセスコントロールリストを追加する旨の記載あれば、
この問題は回避できました。
管理人が気づくのに時間が掛かったのもありますが、
流石に国のマニュアルも悪いと思います。
なお、普通なら・・・
こんなことは出入りのSIベンダに頼むのですが、
今年は、自治体システムの標準化・共通化でどこのSIベンダも人手不足。
多くの自治体で、職員が自ら設定しなければいけない状況です。
せめて、1年でもずらせば良かったと思うのですが・・・
これから、VPN装置の移行自治体の件数も本格的に増加していくので、
どうなることやら・・・
スペック
| パフォーマンス | XGS 107(w) |
|---|---|
| ファイアウォールスループット | 7,000 Mbps |
| Firewall IMIX | 3,750 Mbps |
| ファイアウォールレイテンシ、 (64 バイト UDP) | 6 μs |
| IPS スループット | 1,500 Mbps |
| 脅威対策スループット | 370 Mbps |
| 次世代型ファイアウォール | 1,050 Mbps |
| 同時接続数 | 1,600,000 |
| 新規セッション / 秒 | 44,400 |
| IPSec VPN スループット | 4,000 Mbps |
| IPsec VPN トンネルの同時接続数 | 1,000 |
| SSL VPN トンネルの同時接続数 | 1,000 |
| Xstream SSL/TLS インスペクション | 420 Mbps |
| Xstream SSL/TLS 同時接続 | 8,192 |
| ワイヤレス仕様 (XGS 87w のみ) | |
| アンテナ数 | 2 (外部) |
| MIMO 機能 | 2 x 2:2 |
| ワイヤレスインターフェース | 802.11a/b/g/n/ac (2.4GHz / 5GHz) |
| 物理インターフェース | |
| ストレージ (ローカル隔離エリアおよびログ) | 統合型 64 GB SSD |
| イーサネットインターフェース (固定) | GbE Copper x 8 SFP fiber* x 1 |
| 管理ポート | COM RJ45 x 1 Micro-USB x 1 (ケーブル付属) |
| その他の I/O ポート | USB 2.0 x 1 (前面) USB 3.0 x 1 (背面) |
| 拡張スロット数 | 0 |
| オプションのアドオン接続 | SFP DSL モジュール (VDSL2) SFP トランシーバ |
| 物理仕様 | |
| 設置方式 | ラックマウントキット入手可能 (個別に発注していただく必要があります) |
| 寸法 幅 x 高さ x 奥行 | 230 x 44 x 205.5 mm |
| 重さ | 1.4 kg / 3.09 lbs (本体) 2.8 kg / 6.17 lbs (梱包時) (w-モデルはこれよりも若干重くなります) |
| 環境 | |
| 電源 | 外部オートレンジ AC-DC 100-240VAC、1.7A@50-60 Hz 12VDC、5A、 60W オプションの冗長電源 |
| 電力消費量 | 107: 26.1 W / 89.06 BTU/hr (アイドル時) 107w: 29.8 W / 101.68 BTU/hr (アイドル時) 107: 53.9 W / 183.91 BTU/hr (最大) 107w: 57.3 W / 195.52 BTU/hr (最大) |
| 稼働気温 | 0°C ~ 40°C (動作時) -20°C ~ +70°C(非動作時) |
| 湿度 | 10% ~ 90%、 結露なきこと |
| 製品認証 | |
| 製品認証 | CB、 CE、 UL、 FCC、 ISED、 VCCI、 CCC、 KC、 BSMI、 NOM、 Anatel (107 のみ) |
コメント