コロナ禍は以前として終息する状況になく、世の中はウィズコロナで進んでいますが、そんな中、コロナ禍を受けてネット環境を改善しました。
【ルーター】
自宅ルーターは従来から変わらず、ヤマハRTX830を使っています。コロナ禍で有線LAN(Ethernet)、無線LAN(Wi-Fi)ともに利用頻度が大幅に増えたことを受けて、IPv4通信のデフォルト経路をPPPoE経由からDS-Lite経由に変更しました。
家庭用のWi-Fiルーターでは、IPv6 IPoEやIPv4 over IPv6通信速度の向上を売りにした製品が登場しています。NECの「IPv6 High Speed」、アイ・オー・データ機器の「IPv6ブースト」です。これらに触発されて、今使っているRTX830でも、DS-Lite経由での通信速度をさらに向上させられないものかとconfigを見直しの上思いつく範囲で修正を行いましたが、毛流麦花の環境では下り848Mbpsが限界でした。(ルーターconfigの最適化という記事を書いていますので、よろしければご覧ください。なお、セキュリティ確保のために必要なパケットフィルタリング等はすべて設定した上でこの速度が出ています。)
【無線LAN】
Wi-FiアクセスポイントをNECのAtermからネットギアのWAC505に変更しました。WAC505はPoE対応で、PoEを使うために、ネットギアのGS308P(PoE給電対応L2スイッチ)も同時に購入しました。
本当はヤマハのWLX212が欲しくて、当初はFreeRADIUS+WLX212の組み合わせでWPA2 Enterprise認証できるようにするべく、RADIUSサーバーの設定をしていたのですが、調べてみたところ、ネットギアのWAC505はWPA2 Enterprise認証に対応しており、WLX212とは違ってRADIUSサーバーそのものは内蔵していないものの、外部RADIUSサーバーの利用は可能で、値段が1台おおよそ1万円と、WLX212の3分の1以下なので、「RADIUSサーバーは自前で構築するわけだし、当面はこれでいいかも」と予定を変更してWAC505を購入しました。
日本国内で正規に販売されている製品なので日本の技適は取得しており法的な問題はないものの、設定画面が英語のみで、当初は不安があったものの、使ってみた感じでは英語のみでも困ることはありませんでした。
FreeRADIUSとの組み合わせでWPA2 Enterprise(EAP-TLS認証)が使えるようになり、スマホ(iOS/Android),WindowsのいずれもEAP-TLS認証でWi-Fiが使えるようになりました。
WPA2 Enterprise(EAP-TLS認証)が使えるようになり、WPA2 Personal利用時の「パスワード総当りで無線LANを無断利用・悪用されたら・・・」という不安から解消されて、とにかくホッとしました。WPA3 PersonalになるとPSKからSAEになり、こうした不安はいくらか軽減されるようですが、EAP-TLS認証に勝る安心感には変えられないと思っています。
EAP-TLS認証では、EAP-TTLS認証などとは異なり、サーバーだけではなく端末側の証明書も必要になり、非常に面倒そうですが、電子証明書を頻繁に更新する必要はなく、WPA2 Personalで頻繁にパスワード(PSK)を更新するよりはずっとラクです。
【自宅サーバー】
これまでぷらっとホームのOpenBlocks600Dを使っていたのですが、さすがにスペック的に古くなってしまって最新のOSやソフトウェアを使うのも難しいので、Raspberry Pi 4 Model B(ラズパイ4)を購入しました。
OSにはRaspberry Pi OS(旧Raspbian)を使い、FreeRADIUSとVPNサーバーソフトのWireGuardをインストールし、特段の問題なく稼働しています。
最初はラズパイ4が1台だけだったのですが、WAC505のRADIUSサーバー設定の画面にRADIUSサーバーを2台(プライマリーとセカンダリー)設定できるようになっているのを見て試したくなり、「ラズパイは廉価だし、冗長性向上のためにもう1台買ってもいいかも」という理由でひと月も絶たないうちに2台目のラズパイ4を購入してしまいました。つくづく、ラズパイは繁殖力が強い(=すぐに増えてしまう)コンピューターだと実感しました。
【FreeRADIUS】
Wi-FiでWPA2 Enterprise(EAP-TLS認証)できるようにするために、自宅サーバー(ラズパイ4)にFreeRADIUSをインストールしました。FreeRADIUSについては機会があれば記事を書こうと思っていますが、電子証明書の作成も含めて、意外と難しくはなかったです。日本語で役立つ情報は見つけられず、本家英語のサイトを見て学んで設定していきましたが、本家サイトのドキュメントがかなり充実しており、ほぼ本家サイトの情報だけで設定できました。本家サイトに「設定の仕方をグーグルで調べるのは推奨しない。情報が古く、間違いが多い。本家サイトの情報を参考にすることを推奨する」と書かれていることもあって本家サイト中心で調べていったのですが、FreeRADIUSについてはたしかに本家サイトが頼りになります。
【WireGuard】
自宅サーバーに、従来のOpenVPNに代えて、WireGuardをインストールしました。設定作業はそれほど難しくはなかったです。VPNの利用用途ですが、無料Wi-Fi利用時にセキュリティ確保のために使うというよりは(そもそも無料Wi-Fiは、よほどのことがない限り使わない主義なので)、「特に必要はないものの、なんとなくVPNを張りたい」時に使う程度ですが、便利に使えています。WireGuardについても、機会があれば記事を書こうと思っています。
【L2スイッチ】
これまで使っていたヤマハのSWX-2200-8G(管理機能付きL2スイッチ(8ポート))がコロナ禍中に動作不良を起こしてしまい、「5年以上使っているので寿命だろう」と考え、リプレースすることにしました。
タグ付きVLANを使う都合上管理機能付きL2スイッチが欲しいものの、ヤマハ製品は高価なので、今回はネットギアのGS308Eを購入しました。GS308Eの管理画面でタグ付きVLANの設定を行った上で、ヤマハRTX830との組み合わせで問題なく、VLANを使えています。