Intel NUCとVMware ESXi 6.5上にSophos XG Firewallを構築する
仮想化技術の勉強のため新しくIntel NUCを購入しました。業務用サーバのようなデカくてうるさいやつはさすがに自宅に置けないので、省スペースなNUCを選びました。
INTEL インテル i5-8259U M.2 SSDに対応 2.5" (9.5mm厚) HDD/SSDも搭載可能 ハイパフォーマンス小型ベアボーンキット BOXNUC8I5BEH
- 出版社/メーカー: インテル
- 発売日: 2018/11/08
- メディア: Personal Computers
- この商品を含むブログを見る
この機種を選定した理由として、Core i5の4コアHT対応で論理コアが8コアあるからです。仮想環境で動かすホスト数によってはCPUリソースが足りなくなるかもしれないと考えたためです。
また、ゲストとしてSophos XG Firewall Home Editionを導入し、ネットワーク機器として運用します。このFWの最低動作条件以下の通りです。
- x86064 (64 bit) CPU
- 2 Network Card Interface (NIC)
- 2GB RAM
- 10GB HDD/SDD
動作させるにはNICが2つ必要となります。
NUCキットはメモリとSSDは別売りなので別途購入する必要があります。メモリはDDR4-2400のノートPC用を2つ購入し16Gにしました。
Transcend ノートPC用メモリ PC4-19200 DDR4 2400 8GB 1.2V (低電圧) 260pin SO-DIMM JM2400HSB-8G
- 出版社/メーカー: トランセンドジャパン
- 発売日: 2017/06/06
- メディア: 付属品
- この商品を含むブログを見る
ストレージは、SSDとM2をに対応しています。今回はSSDのみにしました。
SanDisk 内蔵SSD 2.5インチ / 480GB / SSD PLUS / SATA3.0 / 3年保証 / SDSSDA-480G-J26
- 出版社/メーカー: サンディスク
- 発売日: 2016/06/09
- メディア: Personal Computers
- この商品を含むブログ (1件) を見る
また、電源ケーブルは付いてこないので買う必要があります。
BUFFALO 電源ケーブルDELL/HP用3ピンソケット(メス)⇔2ピンプラグ(オス)20cm BSACC0802BKA
- 出版社/メーカー: バッファロー
- 発売日: 2015/09/10
- メディア: Personal Computers
- この商品を含むブログを見る
NUCにはNIC(Network Interface Card)が1つしかないため、ネットワーク機器として運用するにはUSB有線LANアダブターが必要となります。今回は2つ購入し合計3ポートにします。
BUFFALO 有線LANアダプター LUA4-U3-AGTE-BK ブラック Giga USB3.0対応 【Nintendo Switch動作確認済み】
- 出版社/メーカー: バッファロー
- 発売日: 2018/11/23
- メディア: Personal Computers
- この商品を含むブログを見る
BuffaloのLANアダブターはLinuxに対応しているか明記されていませんが、動きました。もし不安であれば100MになりますがPlanexのLANアダブターがLinux対応です。
PLANEX Windows/Mac/Linux対応 USB2.0 有線LANアダプタ ドライバ内蔵型で設定不要 USB-LAN100R
- 出版社/メーカー: プラネックス
- 発売日: 2015/02/10
- メディア: Personal Computers
- この商品を含むブログ (1件) を見る
ESXiのインストールイメージはVMware社の公式サイトからダウンロードできます。今回はVMware vSphere Hypervisor 6.5.0 Update 2 - BinariesからVMware vSphere Hypervisor (ESXi ISO) image (Includes VMware Tools)をダウンロードしました。
起動用USBはRufusでセットアップし、ESXiをインストールします。インストールは使用するディスクやrootパスワードを設定する程度です。リブート後にIPアドレスを設定します。別PCからpingで疎通ができればOKです。設定したアドレスにブラウザでアクセスするとVMware Host Clientの画面が表示されます。
ログイン後、ライセンスの設定をします。デフォルトでは60日間の試用期間となっていますが無償版の機能しか使わないのでダウンロード時に表示されていた無償版のライセンスコードを適用します。また、SSHがオフになっているので一旦オンにします。
USB有線LANアダブターを使うためESXi 6.5 USB Ethernet Adapter Driver VIBを入手します。(参考)
teratermのscp機能などを使ってvibファイルをアップロードし、esxcliコマンドでインストールします。
[root@localhost:/tmp] esxcli software vib install -v ./vghetto-ax88179-esxi65.vib -f Installation Result Message: Operation finished successfully. Reboot Required: false VIBs Installed: virtuallyGhetto_bootbank_vghetto-ax88179-esxi65_6.0.0-1.0.0 VIBs Removed: VIBs Skipped: [root@localhost:/tmp]
続いて、デフォルトのUSBドライバを無効にし、再起動します。
[root@localhost:/tmp] esxcli system module set -m==vmkusb -e=false
起動後にUSB有線LANアダブターを認識しているか確認します。
[root@localhost:~] esxcli network nic list Name PCI Device Driver Admin Status Link Status Speed Duplex MAC Address MTU Description ------ ------------ ------------ ------------ ----------- ----- ------ ----------------- ---- ------------------------------------------------ vmnic0 0000:00:1f.6 ne1000 Up Up 1000 Full 94:c6:91:**:**:** 1500 Intel Corporation Ethernet Connection (6) I219-V vusb0 Pseudo ax88179_178a Up Up 100 Full 18:c2:bf:**:**:** 1500 Unknown Unknown vusb1 Pseudo ax88179_178a Up Down 0 Half 18:c2:bf:**:**:** 1500 Unknown Unknown
NUCとUSBで合計3つのNICが認識されています。
NICを認識させることができたのでネットワークの設定をします。今回は管理用、外部、DMZ、内部という4つのセグメントを作成しました。
次に、Sophos XG Firewallをインストールします。これは無償評価版でもIPSやアンチウイルス、VPN機能などが使える優れた製品です。Sophosは主にBtoBがメインらしく、法人向けの案件で見かけることがあります。isoイメージは公式サイトからダウンロードできます。ダウンロードしたisoイメージはESXiホストのデータストアに配置します。
続いて、仮想マシンを作成します。無償評価版はCPU4コア、メモリ6Gに制約されるので次のように設定しました。
ストレージは余裕をもって80GBぐらいあればいいかと思って設定しましたが、半分の40GBでも十分だと思います。CD/DVDドライブにインストールisoを指定したあと、仮想マシンを起動します。
フォーマットしてよいか尋ねられるのでyを入力します。
インストール完了後リブートします。このあと、https://172.16.16.16:4444にアクセスしWeb上で初期設定をします。そのため、PCに172.16.0.0/16のセグメントのIPを振り、適切なポートに接続する必要があります。
ただし、設定次第ではポート番号とESXi上のネットワークアダプタ番号が一致しないことがあります。そのときは、ESXiのブラウザコンソールからログインします。
パスワードはadminです。
コンソールメニューから「5. Device Management」を選び、「3. Advanced Shell」を選択することでLinuxのシェルを使うことができます。ここで、ip aなどを使うことでポートのMACアドレスを確認することができます。初期設定ではPort1のみIPアドレスが設定されているため、ここが違っているとIPレベルでアクセスできません。
また、IPアドレス自体を変更したいときは、コンソールメニューから「1. Network Configuration」を選び「1. Interface Configuration」から設定することができます。
ブラウザから接続すると初期設定画面が表示されます。
右上のドロップダウンリストから日本語を選択できます。セットアップでは、Adminユーザのパスワード設定やネットワークなど設定していきます。
途中、FWをルータモードとブリッジモードのどちらにするか聞かれます。ネットワークの構成にもよりますが、今回はFW兼PPPoEを終端するルータとして使う予定なのでルータモードを選択しました。
インストールの完了後に自動的に再起動します。再度、Web画面に接続します。
ユーザ名adminと設定したパスワードでログインします。
インターネットに接続するためPPPoEの設定を行います。左のメニュから「ネットワーク」を選択し、PPPoEを設定するポートを選びます。
チェックボックスから「PPPoE [DSL]」を選択しユーザ名とパスワードを入力します。「保存」ボタンで設定を適用すると自動的にIPアドレスが取得され、インターネットにつなげることができます。
LAN側のIPアドレス設定実施し、PCからインターネット側への疎通やHTTP接続ができていればセットアップは完了です。