RED の問題のトラブルシューティング

RED デバイスがファイアウォールとの TLS ハンドシェイクを完了するためには、時刻を更新する必要がありますが、以下の場合は更新できません。

• オフラインモードの RED デバイスは、ソフォスの NTP サーバープールに接続できません。
• この場合、RED デバイスは、ファイアウォールの時刻と同期するために、ポート 4444 経由でファイアウォールへの HTTPS 接続を確立しようとします。しかし、Web 管理コンソールがポート 4444 を使用しており、「管理 > デバイスのアクセス」で WAN ゾーンからの HTTPS 管理サービスのアクセスがオフになっている場合、接続を確立できません。

時刻を同期できないと、証明書の期間が無効になり、TLS ハンドシェイクがエラーになる可能性があります。

修正

次のいずれかの操作を行います。

• RED にインターネットアクセスを許可して、以下のソフォスの NTP サーバープールに接続できるようにします。

  • 0.sophos.pool.ntp.org
  • 1.sophos.pool.ntp.org
  • 2.sophos.pool.ntp.org
  • 3.sophos.pool.ntp.org

• 「管理 > デバイスのアクセス」に移動し、「ローカルサービス ACL の例外ルール」を次のように追加します。

  1. 「追加」をクリックします。
  2. ルール名を入力します。
  3. 「送信元ゾーン」を「WAN」に設定します。
  4. 「送信元ネットワークまたはホスト」に、RED デバイスの IP アドレスを設定します。
  5. 「宛先ホスト」を、ファイアウォールの WAN ポートに設定します。
  6. 「サービス」を「HTTPS」に設定します。
  7. 「アクション」を「許可」に設定します。
  8. 「保存」をクリックします。

修正

Telnet を使用して、RED サービスにアクセスできるかどうかを確認します。

コマンドラインで以下のように入力します。

telnet red.astaro.com 3400

Connected to red.astaro.com と表示される場合は、ネットワーク負荷が高く、プロビジョニングサーバーへの登録が妨げられている可能性があります。後でやり直してください。

VLAN で再起動した RED アクセスポイントは、Sophos Firewall に「無効」と表示されます。

条件

SD-RED 20、SD-RED 60 をアクセスポイントとして設定できます。VLAN に RED アクセスポイントがあり、それを再起動すると、アクセスポイントは Sophos Firewall で「無効」と表示されることがあります。30回再試行すると、RED は DHCP サーバーから LAN IP アドレスを取得します。これで、RED アクセスポイントは再び「有効」と表示されます。

原因

DHCP オプション 234 が RED の VLAN インターフェースに設定されていません。RED の再起動後、VLAN インターフェースで IP アドレスが取得されません。

修正

1. 右上のリストから「コンソール」をクリックし、「4」と入力して「デバイスコンソール」を選択します。

2. DHCP オプションを次のように接続します。

   system dhcp dhcp-options binding add dhcpname <dhcp server name> optionname dhcp_magic_ip(234) value <interface ip address>

   <dhcp server name> を、RED アクセスポイント VLAN 内の DHCP サーバーの名前に置き換えます。<interface IP address> を、VLAN に接続されている RED アクセスポイントインターフェースに設定した IP アドレスに置き換えます。

   しばらくすると、RED アクセスポイントは VLAN インターフェース上で IP アドレスを受信します。

3. 設定を確認するには、次のコマンドを使用します。

   system dhcp dhcp-options binding show dhcpname <dhcp server name>

   <dhcp server name> を、RED アクセスポイント VLAN 内の DHCP サーバーの名前に置き換えます。