トラブルシューティング

問題

iPhone デバイスではインターネットにアクセスできませんが、他のデバイスでアクセスできます。

説明・対策

お使いのアップルデバイスで iCloud プライベートリレーの設定がオンになっている可能性があります。iPhoneデバイスで「IP アドレスのトラッキングを制限」をオフにします。詳細については、iCloud Private Relay に向けたネットワークや Web サーバの準備を参照してください。

問題

お客様の場所でインターネットの問題に直面しており、DNS リクエストが解決されていません。これはプライベート IP アドレスを使用して場所を追加したことが原因である可能性があります。172.x.x.x や 192.x.x.x などのプライベート IP アドレスは機能しません。

説明・対策

パブリック IP アドレスを使用して場所を設定します。通常、ルーターの WAN インターフェースの IP アドレスです。

問題

DNS 解決用に複数のサーバーを設定しているため、DNS Protection が機能していません。これは、IPv6 アドレスを解決するために別の DNS サーバーを設定していることも原因である可能性があります。DNS Protection は IPv4 ベースの DNS サービスであり、IPv6ア ドレスを解決することもできます。IPv6 アドレスを解決するには、個別の IPv6 DNS サーバーは必要ありません。

説明・対策

この問題を解決するには、以下の手順を実行します。

1. パブリック DNS 要求を解決するには、DNS Protection のみを使用します。
2. ネットワークレベルで DHCPv6 設定を変更するか、IPv6 スタックを設定することで IPv6 DNS サービスをオフにします。これによって自動的に DNS アドレスを取得しないようになります。

問題

ダッシュボードに DNS トラフィック情報を表示することはできません。

説明・対策

これは、ISP による「DNSハイジャック」が原因である可能性があります。この問題を解決するには、ルーターの DNS 設定に DNS Protection IP アドレスを追加します。DNS ポリシーが適用されないを参照してください。

問題

「場所の追加」ページでは、IPv6 アドレスを使用できません。

説明・対策

現在、IPv4 は静的 IP アドレスとホスト名のみをサポートしています。

問題

お使いのシステムは DNS Protection IP アドレスと通信できません。

説明・対策

DNS Protection は、設定された場所からのリクエストだけを受け入れます。Sophos Central で場所を設定したら、DNS サーバーを使用します。

問題

DNS Protection が、 ある場所からのDNS要求の解決を停止しました。

説明・対策

この問題は、次の理由で発生している可能性があります。

• その場所に入力した FQDN が有効な IP アドレスに解決されていません。これを解決するには、DNS 設定を確認する必要があります。
• 入力した IP アドレスまたはその場所の FQDN の IP アドレスが、別のユーザーと競合しています。DNS Protection では、最初に場所を作成したユーザーが優先されます。この場合、ISP に固有の IP アドレスを提供するように要請することをお勧めします。

これらの問題の警告は Sophos Central の「警告」ページで確認できます。

問題

Web サイトが誤って分類されていると思われます。

説明・対策

次のいずれかのタスクを実行できます。

• カスタム ドメイン リストを作成し、その Web サイトをリストに追加して、Web サイトを許可またはブロックするポリシーにリストを追加します。詳細は、ポリシーの追加およびドメインリストを参照してください。

• Web サイトのカテゴリ変更リクエストをソフォスサポートに送信します。

  これには、次の手順を実行します。

  1. 「サンプルの提出」で、「Webアドレス(URL)」をクリックします。
  2. 「Webアドレス(URL)」に、再分類する Web サイトを入力します。

  3. 「製品/サービス」で、Sophos XG Firewall を選択します。

     注

     Sophos Firewall には、DNS Protection と同じ Web サイトカテゴリがあります。

  4. 「説明」で、この再分類リクエストは Sophos Firewall 用ではなく　DNS Protection　用であることを伝えます。リクエストに関するその他の詳細を追加することもできます。

  5. 個人情報を追加します。
  6. 「URL を送信」をクリックします。

問題

以前に許可されたドメインをブロックするようにポリシーを更新しました。ポリシーはすぐには適用されず、ドメインにアクセスできます。

説明・対策

これは、ブロックしたドメインの DNS TTL (time to live) が長い場合に発生します。この場合、DNS TTL の期限が切れるまでドメインにアクセスできます。

問題

カスタムドメインリストを使用してドメインを許可しましたが、DNS Protection がそれをブロックしてしまいます。

説明・対策

これは、そのドメインがセキュリティ上のリスクであることが原因である可能性があります。DNS Protection は、脅威またはセキュリティリスクとして SophosLabs フラグがついたサイトを常にブロックします。

問題

Cloudflareに登録されているドメインに A レコードを設定すると、設定は "プロキシモード" に切り替わります。この設定では、A レコードは指定した IP アドレスではなく Cloudflare IP アドレスを返します。これは、IP アドレスを指す DynDNS エントリを作成する場合には最適ではありません。

説明・対策

Cloudflare で、「Proxy status」を「DNS only」に設定して、DNS エントリが指定した IP アドレスを指すようにします。

問題

DNS Protection の開始ページにはアクセスできますが、DNS Protection ポリシーによってブロックされているサイトにアクセスすると、ブロックページではなく元のサイトが表示されます。

ファイアウォールが DNS Protection を使用してドメイン名を解決するように設定されておらず、ファーミング対策がオンになっている Web プロキシモードでトラフィックをフィルタリングしている場合は、ブロックページは表示されません。これにより、ファイアウォールは、DNS Protection を使用してブロックページにリダイレクトする代わりに、DNS サーバーから取得した IP アドレスに Web 接続を送信します。

説明・対策

以下のいずれかの方法を使用してください。

• DNS Protection を DNS サーバーとして使用するようにファイアウォールを設定します。
• ファーミング対策をオフにします。

• DNS Protection ブロックページサービスへの接続でファイアウォール Web フィルタリングと TLS 復号化を無効にするには、次の手順に従います。

  • 名前が blockpage.dnsprotection.sophos.com の FQDN オブジェクトを作成します。
  • すべての HTTP および HTTPS サービストラフィックを許可するファイアウォールルールを作成します。送信元ネットワークは内部ゾーンとネットワークである必要があり、宛先は WAN ゾーンである必要があります。新しい FQDN オブジェクトを使用して、宛先ネットワークを指定します。「許可」アクションを設定し、Web　フィルタリングオプションはオンにしないでください。
  • ファイアウォールルールと同じ選択基準を使用して、暗号化を解除せずにブロックページサービスへの HTTPS 接続を許可する TLS ルールを作成します。ただし、 「復号化しない」アクションを使用します。