法人向けWi-FiアクセスポイントWAB-I1750-PSでマルチESSID+VLAN

Pocket

6月に導入したASUSの4xMIMO(1734Mbps)機RT-AC87Uがイマイチ不安定で一部のスマフォが繋がらなくなる(Wi-FiをOFF/ONすると繋がるケース、再起動しないとダメなケースなど)現象が出ました。最新のβファームを導入したら子機のEA-AC87との接続まで切れるようになり、一時期処分も考えたんですが、AC87Uをフル初期化(新ファームではRESETボタンでとあったけどそれでダメで、管理画面から実施)したら安定してきまして、とりあえずこいつは更にEA-AC87を買い増しして、仕事場とTVラック(レコーダーやゲーム機など)の幹線専用にステルスで運用。スマフォやノートPC用に安定重視の業務用ルーターを導入することにしました。

ウチは2人暮らしですが、両者ともガジェット好きでスマフォ、タブレット、ノートPC、ゲーム機、電子書籍端末、ネットワークカメラ、他IoT関係までいれると軽く20台とかになるのと、両者でネットワークを分離して別々のアクセスポイントでESSIDを飛ばしているのをタグVLANを使って物理的に1台にまとめたらスッキリしそう、というのが理由。

VLAN対応のマルチプルESSID対応で入手性が良いもので候補に挙げたのが以下の3機種。


ヤマハ 無線LANアクセスポイント WLX302
11n/300Mbps 5万円前後

BUFFALO インテリジェントモデル PoE対応 11ac/n/a/g/b 866+300Mbps 無線LANアクセスポイント WAPM-1166D
11ac/866Mbps(2x2MIMO) 3万円前後

ELECOM 無線アクセスポイント 1300+450Mbps 11ac対応 PoEパススルー機能搭載 WAB-I1750-PS
11ac/1300Mbps(3x3MIMO) 2.5万円前後

なぜかトップスピードと価格が反比例している(^^;)。本当は見える化機能などYAMAHAルーターとの組み合わせで様々な管理/診断機能があるWLX302が欲しくて散々迷ったんですが、さすがに今からこの値段で11n止まりの機種を買うのはどうよ、と。iPhon6sもせっかく2xMIMOに対応するというのに。そしてまだ業務用では4×4 MIMO機はなさげでした。

で、結局ELECOMのWAB-I1750-PSに。もうYAMAHAじゃないならどこでもいいやってのと、いざYAMAHAが11ac機を出したら買い換えてやるからそれまでのつなぎで、という戦略です。

またこれらの機種はPoEとういイーサネットケーブルから電源供給することも可能で、それを選ぶ人の為にACアダプタは別売り。ACアダプタが5千円、PoEインジェクタが8千円円程度だったので後者にしました。ケーブル一本で設定できてスッキリというのもありますが、次に買い換えてもまた使えるというのがポイントです。ただELECOM純正のがヨドバシ店頭に在庫がなく、どうみても同じOEM元で少し高かったですがLogitecの方にしました。供給電力が30W(ELECOMは15W)と少し能力が高いようなので、WAB-I1750-PSのパススルー機能を使って将来別のものに同時給電する時にいいかなと自分を納得させました。値段だけならAmazonでもっと安いインジェクターあるようです。

■設置編

長い前振りを終え、いよいよ設置。上記の写真ではかなり大きく見えますが、イタズラ防止用のカバーを取り付けた状態なので、実際の本体はなかなかコンパクトです。AirMac Extremeの筒型になる前の11n/300&450Mbps世代のアレより一回り大きいくらい。Mac miniアルミよりは小さいかな?ってとこでしょうか。

ESSIDを複数設定すると自動的にVLANタグを入れる欄がそれぞれに出現します。ウチはNVR500でVLANタグを設定しない192.168.0.0/24のネットワーク(プロバイダAに接続)とVLANタグ102で10.0.0.0/24のネットワーク(プロバイダBに接続)という構成なので、片側はVLANタグ無しにしたかったのですが空欄にはできず。本職ネットワークエンジニアである同居人にも相談しつつ試行錯誤した後、IDにデフォルトの1を入れておけばOKでした。1つ目のEthernetポートの設定を「タグ付きポート」にしておきます。2つ目は基本使わないですが、ルーター側でVLAN設定が上手くいかない時の為に「タグなしポート」にし、VLAN IDを管理用VLAN IDと揃えて置くのが無難でしょう。

NVR500+SWX2200-8Gで構築したVLANの設定としては、ウチではこんな感じ。NVR500がSWX2200のポート1に、WAB-I1750-PSをポート2につないでいます。WAB-I1750-PS側でESSID AのVLAN IDが1、ESSID Bが102です。

vlan lan1/2 802.1q vid=102 name=HOGE
ip lan1/2 address 10.0.0.1/24
dhcp scope 102 10.0.0.2-10.0.0.100/24 gateway 10.0.0.1
switch select (スイッチのMACアドレス)
switch control function set vlan-id 2 102
switch control function set vlan-port-mode 1 hybrid
switch control function set vlan-port-mode 2 trunk
switch control function set vlan-trunk 1 1 join
switch control function set vlan-trunk 1 102 join
switch control function set vlan-trunk 2 1 join
switch control function set vlan-trunk 2 102 join

関係ありそうな部分の抜粋です。他にも必要かも知れません。

とりあえずこれで、ESSID Aでは標準の192.168.0.0/24ネットワークへつながりプロバイダAへ、ESSID Bにつなぐと10.0.0.0/2のVL
ANにつながりプロバイダBと通信ができます。ちょっと苦労しましたが、なんとか希望の状態が実現できました。

■速度、安定性など

まだ評価を下せるほど使ってないですが、ファーストインプレとしてさすがに外出しアンテナが4本もついたRT-AC87Uよりは電波が弱いなと感じます。お風呂でタブレットを使う時などはリンク速度が落ちます。寝かせて設置しているせいもあるかも知れません。ちゃんと壁掛けして高い位置にするとかわるかも知れないですが、賃貸ですし、実害が出るまで様子見。

最近フレッツをギガラインにしましたが、speedtest.netの測定だと特に違いは無い気がします。2×2 MIMO対応のNexus6で上下とも200~270Mbps程度出ました。有線なら5~600Mbps出る環境ですが、2×2 MIMOならこんなもんでしょう。

定期的に周囲の電波状況をみてチャンネルを自動変更する機能がありますが(普通の家庭用ルーターだと起動時のみ)、接続中のクライアントの通信が途切れるので使用は躊躇しています。そんなにめまぐるしくもかわらあにので、たまに自分でチェックすればいいかなとか。接続中のクライアントがいたら切り替えない、というチェックボックスもあるんですが、ウチなんか留守時でも常時スマフォやタブレットがつながってるだそうし、それはそれで実効性に疑問が、とか。また定期再起動もスケジュールできるので、夜中とかにひっそり再起動させれば、長期運用でも安定して使えるかも知れません。サーバー類はRT-AC87U経由なのでこちらは割と気軽にいじれるのが精神的にはメリットです。

また災害時用のフリースポット00000JAPANを開放する機能もありますが、80と443ポートのみのようです。自宅LANにアクセスできないようにするのは当然なんですが、今時http/sのみだと通話アプリとか使えなくで微妙な気がします。せめてSMTP/POP/IMAPくらいは開けててもいいような?ウチはまぁビルの上層階なのでいざって時に開放しても誰にも電波届かないですけどw。

ともあれ、マルチESSID+VLANでいくつでも仮想Wi-Fiが追加できるので、友達が来た時とかのゲストネットワークとかも(こと細かにアクセス制御した上で)作り放題ですね。実家から誰か泊まりに来たら、実家と同じESSIDをとばしてあげる、とかも。

3×3 MIMO Wi-Fiアクセスポイントとしてはややお高いですが、2.5万円(と電源アダプタ代)ならまだ家庭用の高級機に毛が生えた程度、といえなくもないですね。ルーター機能とか簡易NASとかリモートアクセスとかいらないから高機能なWi-Fiアクセスポイントが欲しい、という人にはこのWAB-I1750-PSはなかなかのコスパだと思います。

■YAMAHAさん、後継機はよっ!

でもせっかくYAMAHAさんルーターつかってるので一緒に管理したいです!あと見える化機能やログ機能も駆使して電波状況を解析、最適化とかしてみたいです!なので、11ac対応のWLXを是非出してください!

11ac級の処理を50台分処理というと相当プロセッサパワーが必要でお高くなんですかねぇ。頑張って検討しますんで開発頑張ってください。

NVR500強化でVLAN化

Pocket

我が家のルータNVR500に、連携管理対応しているスイッチWX2200-8Gを追加し、タグVLAN化してみました。NVR500はもともとVLAN(仮想LAN)機能がついているんですが、物理的なLANポートx4は分割できず、この別売りのWX2200-8Gを足しタグVLAN機能を使うことで、VLANが作成できます。WX2200-8Gの8ポートの一部を独立のネットワークとして分割する感じです。具体的には元からあった192.168.0.0/24のLANとは別に、10.0.0.0/24の同居人用ネットワークと作成し、余ってたAirMac Extremeをそちらにつなげました。AirMac Extremeの発するESSIDにつないだ端末にはDHCPで10.0.0.xのIPアドレスが降られ、NVR500のマルチセッション機能で別のプロバイダ契約のPPPoEセッションにつながる感じです。ルーターや光回線は1つなんですが、仮想的に全く独立のインターネット接続がある感じ。σ(^^)の方は固定IPだし、サーバー用でそれなりに帯域も使うので、分散した方がプロバイダに目を付けられにくかろうとか。

VLANでわけ、それぞれにDHCPサーバーを稼働させること自体はGUIでそこそこ簡単にできました。トリッキーなのはネットワーク毎にデフォルトゲートウェイをPP1とPP2に振り分けるところで、YAHAMAの場合、フィルター型ルーティングという方法を使うのが一般的みたいです。ソースのIPアドレスが一定範囲の場合はPP1(プロバイダ1)に、それ以外はPP2(プロバイダ2)に、みたいな条件分岐を設定するイメージ。IPアドレス別以外にも、プロトコル別(メールはこっちとか)などかなり柔軟に設定できるみたい。

またネットワーク間はデフォルトでは特にブロック指定はされておらず、普通にIPアドレス指定で別ネットワーク側にあるNASやサーバーは見えます。ただ、外からVPNでつないで192.168.0.xなIPアドレスがふられた場合、同一ネットワーク以外のアクセスはVPN外のゲートウェイにつなごうとしてしまうので、VPNサーバー(ウチの場合はOSX Server)に10.0.0.xもこっちだよってルーティング設定を追加してあげる必要がありました。この場合、192.168.0.xと両方指定しないとダメっぽかったです。

もし今度来客がある時は、さらに余っているWi-Fiアクセスポイントで3番目のVLANを作り、完全に内部LANと分離したゲストWi-Fiを構築できそうです。ウチはルーターとアクセスポイントは分ける派なので、Wi-Fiルーターのゲストネットワーク機能ってあんま意味をなさないんですよね。NVR500+SWX2200-8Gとの組み合わせならきちんとVLANとしてわけられるのでフィルター設定も楽そう。

NVR500はエントリーモデルですが、調べるとまだまだ色々できて楽しいですね。こうなってくると俄然RTX1210とか810とか欲し待ってきます。まぁ、オーバースペックなんでしょうけど。NATテーブルが4096と少なめな点がよく指摘されますが、実際調べてみたら常時200くらいで済んでました。あとは速度的なネックになっていないかですねぇ。ちなみに最近フレッツギガラインに変更してスピードテストで500~600Mbps程度出てますが、その計測中にNVR500のCPU負荷を調べてみた感じ、70%前後ってとこでした。余裕があるとも言えないですが足りてないという感じでもないビミョーなラインですねw。いくらスマフォやらタブレットやらで20台前後端末があったって、同時に使うのは2人ですし。あとはRTX1210にしてL2TP VPNが速くなるかって位かなぁ。それよりは同社のWLX302を買って無線LANも統括管理してみたいですが、あれの11ac版後継モデルが出ないのかなぁ。

クライアントIDで有線と無線に同じIPアドレスを振る覚え書き(NVR500)

Pocket

MacBook Pro 15rを自宅で使う時、基本的にはワークデスクでGigabit-Thunderboltアダプタで有線接続なんですが、時折Wi-Fiで使ったりもします。最近はないですが、他のノートPCでも両方のインターフェースがついてる機種では適宜使い分けたりします。そういう時にできれば同じIPアドレスを割り振りたいと思ってたんですが、当然ながら有線と無線(Wi-Fi)でMACアドレスがそれぞれ別についているのでややこしいことになっていました。

また複数のMacBookを同じGigabit-Thunderboltアダプタで使い分けると、これもまた同じIPアドレスになるのが気持ち悪かった。

で、今回わかってDHCPサーバーをOSX ServerからYAMAHAのNVR500に戻す大作戦を決行していて、リファレンスにクライアントIDというものでも識別できるという記述を見つけました。はて、クライアントID?どこかでみたことあります。あ、これや!

clientid

なるほど、Mac側で有線と無線で同じクライアントIDを名乗っておけば、MACアドレスの違うインターフェースでも同じIPアドレスがもらえそう。最悪故障して本体交換しても、TimeMachineバックアップから復元してここの値が同じなら同じに?なるほど考えられてるなぁ。

ってことで、実験。普通NVR500などYAMAHAルーターにDHCPの固定割り振り設定をする書式はこんな感じ。

dhcp scope bind 1 192.168.0.200 ethernet 00:01:23:45:67:89

それをクライアントIDを使った指定にかえるにはこんな感じ。もちろんクライアント側にクライアントID欄を指定しておきます。写真のようにTSUBASAなどとした場合、

dhcp scope bind 1 192.168.0.200 text TSUBASA

こうすればよさげ。設定変更しても既にリースしているIPアドレスがある場合そちらが優先されるので、

dhcp manual release 192.168.0.200

などとして手動開放してやります。クライアントに別のIPアドレスが割り振られている場合、そちらも開放することをお忘れ無く。

これで単一の設定で、有線/無線に同じIPアドレスが振られることが確認できました。うっかりWi-Fi切り忘れたまま有線つないじゃったらどうなるのとか、公衆Wi-Fiサービスとか他の環境で弊害出ないか、とかは追々…

NVR500でフレッツサービス情報サイトに自動接続させる覚え書き

Pocket

NVR500でフレッツサービス情報サイト(旧フレッツ・スクエア)に接続する設定自体はすんなりいったものの、ブラウザでwww.fletsやspeed.fletsにアクセスしようとした時に、自動的に接続してくれるようにはなりませんでした。

そこで以下の[詳細設定と情報] > [基本接続の詳細な設定] > [プロバイダの修正(PP[02])]で宛先アドレスと宛先ドメイン名を以下の設定を追加(Bフレッツの場合)。

「宛先アドレス」に追加したIPアドレスへのアクセス要求があった場合、PP2(ウチではフレッツサービス情報サイト)にオンデマンドで接続され、そちらにルーティングされます(同じ設定画面で3分で自動切断されるようにしてます)。

次に「宛先ドメイン名」に「.flets」を指定します。これでワイルドカードが効いて、.fletsドメインに関するDNS問い合わせが、PP2側に行くようになります(そうしないとPP1のプロバイダ側のDNSではIPアドレスが引けなくてエラーになる)。最初「*.flets」としていて思い通りに動かずハマりました。またこれだと「www.flets.com」とかの場合もPP2側のDNSに問い合わせてしまう気がしなくもないですが、いまんとこちゃんと引けてるようなので大丈夫かなと。サービス情報サイト側のDNSに自社の関係サーバーのレコードは一通り入ってるのかも知れません。もしかすると「www.flets.hoge.com」みたいなドメインが引けないかもですが、まぁそんなあやしいドメインはつながらなくてもいいやw。

2013.1.23追記:ドメイン名は後方マッチらしいので直上の不安は払拭されました。

image

なお、ルーティング情報(サービス情報サイトのサーバー群が使うIPアドレス一覧)は変更になる可能性があります。今回はこちらで調べました。ひかり電話ファームアップ用はいらなそげだったので、他の2つだけ登録してあります。上手く行かないようなら最新情報を確認してみるといいかも知れません。またフレッツ光ネクストの場合はこれらの情報も違ってくるので応じたものを使ってください。

YAMAHA NVR500 ~10年ぶりにブロードバンドルーターをリプレイス

Pocket

思うところがあり自宅のBフレッツをフレッツ光ネクスト・ハイスピードタイプにプラン変更することにしました。それについては実際に変更された時に改めて書きますが、ハイスピードタイプの下りは最大200Mbps。今使っているNTT-MEのMN8300はWAN側LAN側共にGigabit非対応なのでネックになってしまいます。また後述のGapNAT機能が便利で10年もの間(我が家のIT製品としては驚異的な期間)愛用してきましたが、最近たまーに(年2,3回)ハングしてくれやがりまして、しかもそれが帰省中だったりしてただルーターを再起動するだけの為に帰省を切り上げて自宅に戻ったこともなんと複数回。この年明け早々もそれで2,3日早く戻ることになりました。自宅のサーバーにつながらなくなると仕事にも差し支えるので、これを機に買い換えることに。

機種選定の要求仕様としては、

  1. WAN、LAN側ともにGigabit対応
  2. PPPoE時に200Mbps以上の性能が出る
  3. 無線LANは不要
  4. NAPT(IPマスカレード)の設定可能数が多い

辺りに注目しました。今や西日本ではGbpsクラスのブロードバンドサービスも普通にあるので、性能面は数千円クラスの機種でも満たすものがあったんですが、4がなかなかに厳しい。BUFFALOで32件、IO-DATAは20件、Coregaは10件などといったレベル。ウチは色々なサービスを公開しており、LAN側の物理サーバーもバラバラなので、DMZにサーバー機をおいておけばOKという訳にもいかず、かなり細かいポート開放設定が必要になります。MN8300だと64件設定できますが、一時休止してるものも含めると半分以上埋まっており、32件でもちょっと不安を覚えるレベルでした。

そこで2,3万円するSOHOグレード以上の製品に候補を広げ、YAMAHAのNVR500とマイクロリサーチのNetGenesis GigLink1000 (MR-GL1000)で悩んだ結果、NVR500をチョイス。特徴としては、

  1. IPv6対応(GL1000はパススルーのみ)
  2. ひかり電話、VoIP対応(アナログポートx2)
  3. アナログ/ISDN/3G対応
  4. PPTPサーバー
  5. microSDスロットによるファイル共有、VPN拠点間の同期機能有り

とYAMAHAらしく電話系の機能が充実しています。アナログ/ISDN回線はないのでハードが無駄な気もしますが、まぁそれでもMR-GL1000と変わらない価格帯なので良しとします。唯一NATテーブルが4096件とクラスの割に少なめ(MN8300と同じ)なのが気になりましたが、VoIP面が楽しげだったのもあり。MN8300が時々ハングするのはこのNATテーブルを使い切ったせいじゃなかろうかという疑いをもっていて、ここに余裕があるMR-GL1000に決めかけたんですが、まぁさしたる根拠もないし、ってことで。

またUSB端子に3Gデータ端末をつないでWAN回線に使えるということで、遅くてもいいので安いデータ回線を調達して組み合わせれば、帰省中につながらなくなった時のバックアップ回線にもなるかなとか(まぁルーター自体がハングアップしてたらどうしようもないんですが)。4,5はウチではあんまり恩恵ないかな。

■GapNATを代替する

GapNATは在りし日のNTT-ME製ルーターの特徴的な機能で、ファイアウォールの内側にいるサーバーが、WAN側のIPアドレスのまま使えるというものです。サーバーからするとNATの下にいるように見えないので設定が色々楽だったり、LAN内の他のマシンからグローバルIPアドレスで普通にアクセスできる面が便利だったりします。特にサーバー立ててると後者がとても大事。これをGapNAT抜きで実現するには、

  1. ヘアピンNATという特殊な実装がなされた機種を選ぶ
  2. 各PCのhostsファイルにdo-gugan.com->192.168.x.xを書いてしまう
  3. LAN内マシン用のDNSを用意する

といったことが必要になります。1.だと今の環境にほぼ手を付けずに移行できますが、世の中的に重要視されていないのか、そもそも対応機種が少ない上にカタログとかに書いてないことが多く、見つけるのが困難です。あるメーカーの機種が対応してるからと油断すると同じメーカーなのに非対応だったりとかザラです。

2.もお手軽ですが、ノートPC等外でも使うマシンの場合は不都合がおきます。またiPhoneなどではそもそも設定しようがありません。

3.の場合、例えばdo-gugan.comをひいたら192.168.x.xが返ってくる設定のDNSを立て、LAN内のPCからはそれを使う、という方法です。常時稼働マシンがあればそう難しいことでもないですが、メンテするサービスが増えるのは面倒っちゃ面倒です。

MR-GL1000なら1.でいけそうなのでそれもまた悩んだ理由でした。しかし、嬉しいことに、NVR500では3.を簡単に実現することができました。さすがにWeb UIには設定項目がありませんが、telnet/sshでログインして、管理者権限で

# dns static a do-gugan.com 192.168.x.x
# save

などとするだけでOKでした。外向けDNSはOSX Serverが担っているので、こちらはLAN内端末専用に使われます。同じくOSXサーバー上のDHCPサーバーにDNSアドレスとしてNVR500のIPアドレスを割り振ってやるように書き換えて完了です。

ちなみに、NVR500上でDNSレコードがキャッシュされてると上記設定をしても即時に反映されず少しハマりました。明示的にキャッシュをフラッシュするコマンドは見付かりませんでしたが、

dns cache use off
dns cache use on

としてやれば同じ結果が得られました。

■スループットを比べる

まだ200Mbps化した訳ではないのであまり意味ないですが、一応ベンチ。

フレッツのサービス情報サイト(旧フレッツスクエア、インターネットを通さないフレッツ網内での速度)の測定結果は94.20Mbps->94.25Mbpsと誤差レベル。というか何年かぶりに測りましたが理論値に近づいてて驚き。確か契約した頃は70Mbpsとかだったような。

BNRスピードテストでは

下り:51.57Mbps
上り:57.14Mbps

が、

下り66.87Mbps (ただし遅い時は20Mbps台のことも)

上り:66.66Mbps(ただし遅い時は40Mbps台のことも)

に。MN8300で1度しか測らなかったんのでなんともですが、ちょっとバラつき多くてあんまりアテにならないですね。

■VoIPアダプタを統合する

NVR500は直接ひかり電話クライアントになれるはずですが、スペック的には「フレッツ光ネクストのひかり電話」となっているので、Bフレッツの場合はどうなのかわからずまだ試してません。が、それとは別にアナログ端子につないだ電話機をSIPクライアントとしてSIPサーバーにレジストするゲートウェイ機能があります。現在NTTのVoIPアダプタ(レンタル代300円/月)と同等のことができるはず、ということで試したところあっさりAsteriskにレジストできました。最近、VoIPアダプタが不調で気付くと接続が切れており、玄関のインターホンのケータイ転送が効かない状態だったんですが、こちらを使ってそれが解消されればさらに買った甲斐が増すというものです。

 

ということで、本領を発揮するのはフレッツ光ネクストのハイスピードタイプになってからですが、とりあえずリプレイスのメモ。