へっぽこエセシステム管理者の管理人です。
さて、かなり手こずって
10日以上無駄にした、マイナンバーのVPN装置のコンフィグ投入でしたが、
何度も苦労した結果ようやくコンフィグの投入はできました。
ファクトリーリセット
理由が分かれば単純なことだったのですが、
前回の更新とかなり勝手がことなっており、
先入観もあって、そこに気づかず無駄に時間を浪費したわけですが、
その過程で、なんどもファクトリーリセットを掛けたり、
勝手にファームウエアのアップデートまでやらかしましたが、
おそらく全国の自治体で、ここまで勝手な事をやったのは
管理人くらいかもしれません。
生兵法は大怪我の元という言葉がありますが・・・
管理人は正にこれを字で行っています。
※生兵法は大怪我の元
いいかげんな知識や心得を頼りにして、事を起こそうと思うと、とんでもない災難に見舞われることがあるというたとえ。浅はかな知恵や、うろ覚えの技術をもとにして、物事を処理しようとすると失敗することをいう。
結局の問題は
問題の機種は・・・
SOPHOSのXGS107でした。
国がよこしたマクロ付エクセルに前の機種のWEB設定画面を見ながら・・・
転記していくのですが・・・
その項目に・・・
運用をするネットワークアドレスを入力する項目があります。
そこに・・・
VPN装置のLAN1のネットワークアドレスを入力する必要があるのですが、
マニュアルには明記されておらず・・・
ただ単に、前の装置から転記しろとしか書いてありません。
このため、前の装置の当該項目に、
LAN1のネットワークアドレスが設定されていない場合は、
コンフィグを流し出すと、LAN1のネットワークアドレスから設定不能となり、
詰むわけです。
しかし、前の装置では、その状態でもLAN1のネットワークアドレスから
設定できたので、特に問題は発生しませんでした。
今回の更新で、仕様が変わったのなら、その点について注意喚起しべきなのですが、
どうせ国のサポートセンターも委託されているだけなので、
本質は分かっていないのでしょう。
ナレッジとして情報は提供しておきましたが、
追加されたFAQを見ても、分かり難い記述だったので、
罠にはまる団体は多いと思います。
【明確にただ単に前の装置の設定を転記するのではなくLAN1のネットワークアドレスを入力せよ!】とFAQに追加すればよいだけなのですが、
そうはしないんですよね。
わざわざ分かり難いFAQにして、落とし穴を作る意味が分かりません。
もちろん、管理人がよほどのアホで、管理人くらいしか
この罠に引っかからないというのであれば話は別ですよ。
ほかの団体の事情なんて知りませんから。
今後はLGWAN-FWの設定変更
さて、VPN装置の設定変更が完了したら・・・
今度は、JUNIPERのSRX345の設定変更です。
VPN装置の更新に際し・・・
国側の接続先(IPアドレス)も変更となるので・・・
VPN装置のWAN側に接続されているLGWAN‐FWの設定変更も必要なわけですが・・・
これもそうとう面倒くさかった。
まぁVPN装置の様な罠は仕掛けられていなかったので、
半日くらい悪戦苦闘して完了しましたが・・・
これまた慣れない装置の設定変更だったので、
GUI(J-WEB)の操作方法や設定変更の箇所がわからず
かなり苦労しました。
ブログランキングにご協力ください!
これも言うが易しですが・・・
平たく言えば、
新しい国側のIPアドレスのネットワークインターフェースを作って、
ルーティングを掛けるだけなのですが・・・
口で言う程、簡単ではありません。
本来は、保守業者のSIベンダに依頼する予定だったのですが、
VPN装置の設定が10日もずれ込んだせいで、
予定が合わなくなり、仕方なくセルフでやりました。
接続テストも実施しましたが・・・
SSL-VPNの接続ランプも正常に点灯し・・・
なんとかここまでは完了です。
はっきり言いますが・・・
こんな難易度が高い作業を自治体の事務職にやらせる国の考えは
マジで狂ってます。
自治体の事務職はもちろん平均3年くらいで異動するので、
ネットワークエンジニアなんていませんし、
※デカイ団体は専門職を雇っているかもしれませんが?
小~中規模団体では無理ですよ。
管理人がなんとかできたのは、公務員人生の半数くらいは
たまたま情報部門に所属していたからであって・・・
なおかつ、いたずら好きなので、アレヤコレヤとネットワーク機器をいじる
機会が少しはあったからです。
ただ、普通はやらないと思うので、かなり無理があると思います。
スペック
| パフォーマンス | XGS 107(w) |
|---|---|
| ファイアウォールスループット | 7,000 Mbps |
| Firewall IMIX | 3,750 Mbps |
| ファイアウォールレイテンシ、 (64 バイト UDP) | 6 μs |
| IPS スループット | 1,500 Mbps |
| 脅威対策スループット | 370 Mbps |
| 次世代型ファイアウォール | 1,050 Mbps |
| 同時接続数 | 1,600,000 |
| 新規セッション / 秒 | 44,400 |
| IPSec VPN スループット | 4,000 Mbps |
| IPsec VPN トンネルの同時接続数 | 1,000 |
| SSL VPN トンネルの同時接続数 | 1,000 |
| Xstream SSL/TLS インスペクション | 420 Mbps |
| Xstream SSL/TLS 同時接続 | 8,192 |
| ワイヤレス仕様 (XGS 87w のみ) | |
| アンテナ数 | 2 (外部) |
| MIMO 機能 | 2 x 2:2 |
| ワイヤレスインターフェース | 802.11a/b/g/n/ac (2.4GHz / 5GHz) |
| 物理インターフェース | |
| ストレージ (ローカル隔離エリアおよびログ) | 統合型 64 GB SSD |
| イーサネットインターフェース (固定) | GbE Copper x 8 SFP fiber* x 1 |
| 管理ポート | COM RJ45 x 1 Micro-USB x 1 (ケーブル付属) |
| その他の I/O ポート | USB 2.0 x 1 (前面) USB 3.0 x 1 (背面) |
| 拡張スロット数 | 0 |
| オプションのアドオン接続 | SFP DSL モジュール (VDSL2) SFP トランシーバ |
| 物理仕様 | |
| 設置方式 | ラックマウントキット入手可能 (個別に発注していただく必要があります) |
| 寸法 幅 x 高さ x 奥行 | 230 x 44 x 205.5 mm |
| 重さ | 1.4 kg / 3.09 lbs (本体) 2.8 kg / 6.17 lbs (梱包時) (w-モデルはこれよりも若干重くなります) |
| 環境 | |
| 電源 | 外部オートレンジ AC-DC 100-240VAC、1.7A@50-60 Hz 12VDC、5A、 60W オプションの冗長電源 |
| 電力消費量 | 107: 26.1 W / 89.06 BTU/hr (アイドル時) 107w: 29.8 W / 101.68 BTU/hr (アイドル時) 107: 53.9 W / 183.91 BTU/hr (最大) 107w: 57.3 W / 195.52 BTU/hr (最大) |
| 稼働気温 | 0°C ~ 40°C (動作時) -20°C ~ +70°C(非動作時) |
| 湿度 | 10% ~ 90%、 結露なきこと |
| 製品認証 | |
| 製品認証 | CB、 CE、 UL、 FCC、 ISED、 VCCI、 CCC、 KC、 BSMI、 NOM、 Anatel (107 のみ) |
コメント