お仕事ブログの方で触れたATEM MiniというHDMIビデオスイッチャーを買いました。
【国内正規品】Blackmagic Design ライブプロダクションスイッチャー ATEM Mini Pro SWATEMMINIBPR
これは4系統のHDMI入力と2系統のアナログ音声入力を自在にスイッチ、PinP合成、ミキシングして1系統のHDMI出力および1系統のUSBカメラ出力をするものです。USBカメラとしてPCに入力できるので、SkypeやZoomといったビデオ会議ツールなどにも簡単に高品質な映像を使用できるので、ユーザテストなどで便利だろうと思い購入に至りました。製品自体を使ってみてのレビューは上記記事をご覧ください。
さて、本製品はEthernetポートがあり、Windows/Mac用のATEM Software Controlという専用ユーティリティからネットワーク経由で操作することができます(もちろんUSB直結でも可)。例えばユーザビリティテストなんかでは観察室にいる操作担当がカメラ切り替えを行ったりということができるわけです。そして今回、新コロナ対策で無観客(遠隔見学)ユーザビリティテストをしたいという相談が舞い込んで来て、インターネット越しにカメラ切り替えができないかという話になりました。同じネットワーク(192.168.aaa.bbbでいうとaaaまでが一緒)にいれば簡単なんですが、インターネット越しだとそう単純にはいきません。VPNでATEMのいるネットワークに入れれば良いのですが、客先の企業内ネットワークだとそんなわけにもいきませんよね、っていうのが本記事の話題です。
■モバイルルーターを組み合わせる場合の注意点
結局、モバイルルーターをATEMと一緒に客先に設置してもらう前提で色々実験しました。ATEM Miniからの映像はUSBでZoomなどにつなげるので、そちらは普通に客先のゲストネットワークにでもつながせてもらえば、映像送受信のパケットはモバイルルーター側とは無関係になるので速度が遅かったりギガ制限があったりしてもあまり問題になりません。
モバイルルーターを使うにしてもいくつかハマりポイントがありましたのでまとめておきます。
・有線LANポートがあるか
ATEM MiniはEthernet(有線LAN)ポートしかないのでこれがつながる必要があります。モバイルルーターの場合、別売りの充電クレイドルについていることが多いです。あるいはUQ/auのL01のようなホーム用のルーターですかね。なのでスマホでテザリングするのは現実的ではないと思います。
・VPN(リモートアクセス)サーバーになれるか(見つけられず)
モバイルルーターにWAN側からVPNでアクセスできれば簡単かつ安全です。しかし探した限りSIMの刺さるモバイルルーターでVPN(PPTPやL2TPなど)のサーバー側になれるものは見付かりませんでした。まぁそんなニーズはほぼないんでしょうね。モバイルルーターの下にさらにYAMAHAやBUFFALOなどのルーターをぶらさげることも検討しましたが、今の外出自粛ムード下では設営に出向くことができず、最悪宅配便で機材を送りつけて先方で配線作業をしてもらうことも視野にいれ、最低限の機器構成でまとめることを優先して断念しました。
もしVPNサーバー機能があるなら、下のポート開放/DMZの節はスキップしてOKです。
・代わりにファイアウォール設定でポート開放やDMZ設定を使う
ということでルーターのWAN側のIPアドレスを指定し、そこへの通信をLAN側のATEM MiniのIPアドレスに振り向けるアプローチをとることにします。いわゆるポート開放とかポートフォワーディングとかいうヤツです。しかしここでまた問題。ATEM Miniの操作に必要なプロトコル(TCP/UDP)とポート番号が調べてもわかりませんでした(ご存じの方がいらしたら是非コメントにてお知らせください)。
ということでセキュリティ的にはやや問題ですがDMZ機能を使うことに。これはNATと相性が悪い特殊なゲーム(今時あるんですかね?)などに使う、全開放的な機能です。WAN側IPアドレスへの全ての通信をLAN側の指定したIPアドレスにまるごと振り向けます。指定された側のLAN内機器からするとファイアウォールが無効化されている状態なので危険です。ATEM自体にもパスワード認証などもありません。ただまぁ最悪ATEMに不正接続されても映像チャンネルを勝手に切り替えられるくらいなのでまぁ今回はいいかなと。
おいおいちゃんとログがとれるルーターとかでポートを追っかけてみようとも思ってます。
さて、このDMZ機能もまたあんまりモバイルルーターに必要とされる機能ではないので、場合によってはついていないこともあり得ます。事前に確認しましょう。幸い手持ちのHW-01LはOKでした。
・グローバルIPアドレスを使えるプロバイダを使う
これはルーター機器の問題ではなく契約するプロバイダ、プランの問題です。ルーターのWAN側にふられるIPアドレスがインターネット側から直接アクセスできなければVPNだろうがDMZだろうが到達自体できません。プライベートIPアドレスというと192.168.xxx.xxxみたいなのを想像する方も多いと思いますが、実は10.xxx.xxx.xxxとか172.16.xxx.xxxみたいなのもプライベートIPです。最近は大手MNOも含めデフォルトではプライベートIPアドレスが割り振られます。ルーターの管理画面や液晶画面で確認できるWAN側IPアドレスと、確認くんやspeedtest.netに表示されるIPアドレスが同じでない場合、両者の間になんらかのNAT変換が介在していて外部から直接アクセスできないことになります。
こういう場合、
- グローバルIPアドレスがもらえるオプションをつける
- グローバルIPアドレスがもらえる格安SIMを契約する
のどちらかとなります。例えばdocomoの場合は標準のspモードとは別にmopera Uを契約することでグローバルIPが割り振られるようになります。私はメインのiPhone回線をギガホで契約しており、データプラスという追加SIMをHW-01Lにさしています。この場合、データプラス側のSIMにmopera Uオプションをつけてもらう必要があります。当初オンライン手続きで契約したらiPhone側についてしまい、結局電話でつけかえてもらいました。オンライン手続きでサブ回線側にmopera Uをつける方法があるのかは不明です。ちなみに200円/月がかかります(プランは500円/月のスタンダードになりますがspモード割との相殺で結果200円/月でした。シンプルプランは選べないと言われました)。
お使いのプロバイダにそうしたプランやオプションがない場合、新たに契約しなおす必要があります。ざっと調べた限りBIGLOBE、NifMO、OCNなど老舗系はさすがにたくさんIPv4アドレスをもってるせいかいまだにグローバルIPアドレスを提供しているようです(執筆時点)。またInterlinkには比較的安価で固定グローバルIPアドレスを利用できるプランもあるようです。たんにグローバルというだけだと再接続毎に違うアドレスになることがあります。特にモバイルルーターの場合は都度電源を切るので、毎回振られたアドレスを確認しなければなりません。今回のケースでは客先でルーターの電源を入れた後で液晶画面をタッチして確認してもらう必要があります。その点、固定IPであれば契約中は同一のIPアドレスなので常に同じ設定のまま接続が可能になります。業務で使う場合、それが良さそうな気がします。
(あるいはDDNS機能がルーターについていればいいんですが、これまたモバイルルーターでは装備率が低いようでした)。
などなど数々のハマりポイントを乗り越えて、WANからATEM Software Controlでスイッチ操作ができることを確認できました。つまり、ATEM Mini、HW-01L、クレードル、ネットワークケーブル、各種電源ケーブルを客先で接続すれば遠隔操作できる環境が作れそうということです。これくらいならケーブルと端子に対応付くラベルでも貼っておけば、なんとかお客さん側でも組み上げてもらえるんじゃないかなと目論んでいます。
