2020年8月末からの案件を行う上で行ったネットワークについて、チラ裏的備忘録。
切っ掛けはリモートワークをする上でのネットワークセキュリティについて、取引先の担当者との会話でした。
担「リモートワークを行う上で、恐らく問題はないはずだが念の為貸与PC以外のPCがNW上に見えないようにして欲しくて、必要なら…」
私「じゃあ貸与PCを接続するNWと他のNWをVLANで分けますね」
担「Wi-Fiの貸与も検討しますが…え?」
私「え?」
担「そういう環境が…?」
私「はい」
という訳で、実は9月になってからではあるものの弊宅内にある機器を使ってリモートワーク用NWを構築しました。
簡単に説明すれば、宅内はISPの貸与ルータから宅内LAN用のルータと開発用LAN用に用意したUTMへ分岐しております。
今回設定したのは、開発用LANであるUTMとその配下にあるL3SWでリモートワーク用のNWを用意しました。
元々UTM側で用途別にポート毎にIPアドレスを振り分けては居たので、その内の一つをリモート用へ割り当てました。
UTMにはLANが4つあり、「インターネットセグメント(ISP貸与ルータへ接続)」「運用セグメント」「外部公開用セグメント」「その他用セグメント」と設定を行っていたため、その他用セグメントをリモート用NWとして利用することに。
あとはL3SWへ接続すれば、VLANを設定すればUTMのWebプロキシ機能を使用しリモートワーク用のNWの完成です。
とだけ書いてしまうと話は終わってしまうのですが、ここでハマった点についてまとめておきます。
弊宅環境
・UTMはSophos XG Firewall
・L3SWはAlaxala
構築したい構成(ざっくり)
・UTMに搭載されているVLAN機能を使用する
・UTMとL3SWの接続はL3SW側でTrunk VLANを設定し、複数の取引先や、貸与PCがない環境でのリモートワークに向けESXiなどからも独立したNWとして利用出来るようにする
(当時、別途リプレース案件の話があり、受注した場合完全リモートだったため)
ハマった点
・UTMがタグVLANしか対応していなかったがポートベースVLANのつもりで使用しようとしていた。
見事にハマりました。
きちんとSophosのマニュアルを見れば書いてあったが、完全に見落としていたのとポートベースVLANが使えるだろうという根拠のない思い込みにより丸一日潰れました。
結果として、UTM側ではVLANを設定せず、リモートワーク用のゾーンを作成、Webプロキシを有効化し取引先用のVLANとESXiで設定予定のVLANをTrunkしたポートへ接続
貸与PCへ接続するポートへリモートワーク用のVLANを設定し完了としました。
UTMの設定については別途こちらを参照、L3SWは割愛。