「OpenWRT化したTP-Link Archer C6 v2をAP(アクセスポイント)モードで利用する」で基本的なアクセスポイントとしての設定はしたので、次にVLAN設定を行いました。
無線LANアクセスポイントをVLAN対応とすることによるメリット
我が家の場合、VLAN設定することで以下のメリットがありました。
- 4ポートしか使っていないVLAN対応スイッチと、無線LANアクセスポイントを要所要所に配っていたが、無線LANアクセスポイントがVLAN対応となる事で、VLAN対応スイッチの削減が出来た。
- 上記で不要となったスイッチを削減することで消費電力削減が出来た。
- VLAN毎に無線SSIDを引き出すことで、無線のVLAN/セグメント分けが出来た。
- OpenWrt対応機器に入れ替える事で、Zabbixで死活監視しやすくなった。
OpenWRT化したアクセスポイントのVLAN設定
まずは、 「OpenWRT化したTP-Link Archer C6 v2をAP(アクセスポイント)モードで利用する」 の設定を済ませてください。
上記対応後、ネットワーク>インターフェースのWANやWAN6を残していた場合には、アクセスポイントでは不要なため削除した方が良いと思います。(お好みで残しても問題ありませんが、削除することでWAN用ポートをLAN用ポートに転用できるため、事実上4ポート⇒5ポートにポートを増やせます。)
次に、ネットワーク>スイッチより、「VLANを追加」ボタンを押して、必要数のVLANを追加します。当方は以下役割で追加しています。VLAN4、5、99は殆どのご家庭で不要でしょうから必要数分だけVLANを作成するように読み替えてください。
| VLAN ID | ZoneName | 名前 | 備考 |
| 1 | lan | 家庭内 | NW機器、サーバ、iPhone、Android、PC等々。VLAN4の監視カメラを収容する録画サーバもこちらに設置。 |
| 2 | VLAN2 | 仕事用 | 仕事用のPC設置用。在宅勤務等に。他セグメントとは通信できなくて良い |
| 3 | VLAN3 | ゲスト用 | DNS、MAIL(送受信共)、HTTP、HTTPSのみ、インターネットと通信可。他セグメントへは通信不可 |
| 4 | VLAN4 | 監視カメラ用 | LAN接続タイプの監視カメラは、最悪末端のLANケーブルを抜かれてそれを攻撃者のノートPC等に挿される可能性を考慮して、他のセグメントへは通信不可、インターネット接続不可、録画用サーバへのONVIF通信のみ許可としています。 |
| 5 | VLAN5 | IoT機器用 | 中華製のIoT機器を利用する場合はここに入れています。周りのセグメントから必要な通信しか許可しておらず、インターネットへの通信も必要な物しか空けていません。 |
以下のようにVLAN追加しました。「タグ無し」を選択したポートへは、VLANタグを外して通信させますので、単純に購入してきたばかりのPCやネットワーク機器を接続すれば通信可能となります。「タグ付き」を選ぶとタグ付きパケットも送るようになります。基本的に他のVLAN機器と接続するポートは下図のLAN1ポート同様に設定し、それ以外は必要なVLAN通信のみをタグ無しで出せばいいと思います。CPUには全て「タグ付き」で送ってください。
スイッチの設定が終わったら保存&適用します。
次に、ネットワーク>インターフェースのデバイスタブを選択し「デバイス設定を追加」を押します。
下記のように、デバイスタイプにブリッジデバイスを選択し、デバイス名はそれとわかる名前「br-vlan2」(任意で構いません。無線のSSIDを連想できる名前でも問題ありません)を選択します。ブリッジポートはスイッチで作成したVLANであるeth0.2を指定します。指定し終わったら保存します。
VLANの必要数分、上記を繰り返します。勘違いしやすいので、表でも下記まとめておきます。
| VLAN | デバイスタイプ | デバイス名 | ブリッジポート |
| VLAN2 | ブリッジデバイス | br-vlan2 | eth0.2 |
| VLAN3 | ブリッジデバイス | br-vlan3 | eth0.3 |
| VLAN4 | ブリッジデバイス | br-vlan4 | eth0.4 |
| VLAN5 | ブリッジデバイス | br-vlan5 | eth0.5 |
次に、ネットワーク>インターフェースのインターフェースタブより、「インターフェースを新規作成」を必要回数実施します。
インターフェースを新規作成画面で、以下のように入力して「インターフェースを作成」ボタンを押します。
一般設定タブは以下のように設定します。
| プロトコル | 静的アドレス |
| デバイス | br-vlan2 |
| IPv4アドレス | VLAN2で余っているIPアドレス ※DHCPの割り当てレンジになっていないIPから、NW機器に割り当てるIPを決めてください。私は、LAN内のNW機器が複数ある為、10.2.0.7(7台目のNW機器)です。 |
IPv4ネットマスク | 画面上は255.255.254.0ですが、一般的には255.255.255.0とすることが多いです。分からなければ255.255.255.0としてください。 |
ファイアウォール設定タブでは、ファイアウォールゾーンの作成または割り当てで、新規ゾーンを作成しますので、VLAN2を指定してエンターキーを押してください。
そうすると、VLAN2(作成)となりますので、保存を押します。
上記では、VLAN2の設定をしましたが、同様に必要数分の設定をしてください。下記画面はVLAN2~5のインターフェースを追加作成した状態です。ここまで出来たら保存&適用を押します。
VLANに対応する無線アクセスポイント(SSID)を設定する
先に補足させて頂きますと、全部のVLANセグメントに無線アクセスする必要が無ければ、そのVLANにはSSIDを設定しない方がセキュリティ上も好ましいです。必要なVLANセグメントのみ、無線の電波を飛ばせばいいはずですので、必要なVLANに対応するSSIDのみ指定するのが良いと思います。
ネットワーク>無線を選択し、802.11nacの横の追加を押してください。
一般設定タブでモードをアクセスポイントとして、ESSIDにはお好きな物を指定します。(例としてVLAN名に合わせてVLAN2としています)。更に、ネットワークでどのVLANに所属させるかを選択します。
次に、無線セキュリティで暗号化とキーを設定してください。キーは単純に無線に入るときのパスワードです。指定し終わったら保存を押してください。
全部のVLANに対して、無線アクセスポイントを指定した例が以下です。必要数料分だけ作成したら、保存&適用を押してください。
動作確認
上記まで完了したら動作確認をします。動作確認のポイントは以下です。
| No | 確認の観点 | コメント |
| 1 | 有線LANポートへ接続して、対応するVLANのIPが取得できているか? | 可能であれば、全ポート、VLANについて確認します。 |
| 2 | 設定したSSIDで無線接続できるか | 可能であれば全SSIDについて確認します |
| 3 | SSIDはパスワード無しとなっていないか | 無線一覧で設定内容を再度見直してもいいと思います。 |
| 4 | 再起動後も同じように動作しているか |
VLAN構成にすると結構確認ポイントが多いのですが、スマホを使うか、ノートPCを使うかすると楽です。
トラブルシューティング
VLAN構成をとると結構はまることがあります。私がよくはまった事例をご紹介させて頂きます。結構試行錯誤して設定したので、他にも事例があればコメントいただければ幸甚です。
| No | トラブル事例 | 確認ポイント・解決策 |
| 1 | 有線でVLANセグメントからIPがふられない | ・DHCPを担当しているサーバ(ルータ)含めてVLAN構成が正しいか? ・DHCPサーバのACL設定が間違っていないか(特にUDPの67,68番) ・テスト端末に固定IPを振って、同一セグメント内の機器にPingが出来るか?(出来ればDHCPの問題。出来なければVLAN設定が間違っている) |
| 2 | 無線でVLANセグメントからIPがふられない | ・まずは、有線LAN側では通信が出来るか上記No.1を確認してみる (No.1がクリアできれば無線の問題と切り分けできる為) ・OpenWRTの無線設定でネットワーク接続先があっているか? |
| 3 | インターネットにつながらない | ・ルータ側のACL、ルーティング設定はあっているか? ・上記No.1、2は問題ないか? ・設定したアクセスポイントのデフォルトゲートウェイは指定されているか? ・SSHでアクセスポイントへログインして、route |
| 4 | 色々やっていて、アクセスポイントへアクセス不可となった | リセットボタンを長押ししてリセットしてください。LAN側インターフェースにLANケーブルを接続すると、デフォルトの192.168.1.1から、同レンジのIPが取れるので、再度OpenWRTルータに接続して設定しなおしてください。 |
| 5 | 不安定と言うか途中でOpenWRTアクセスポイントへアクセス不可となり、再起動するとアクセス可となる | Archer v6にOpenWRT21.02を入れて、かつアクセスポイントにした際に同事象が発生しました。後日原因切り分けの為ログ転送や監視を入れて究明する為、ログをログサーバに飛ばす設定をし、zabbixで監視するようにしたら全く発生しなくなりました。 無通信状態の場合、スリープ状態になっているのではないかと疑ってしまうような症状にも見受けられたのですが、全く再現しなくなってしまったので詳細不明です。 |
| 6 |
No.3のSSHでアクセスポイントへ接続してのルーティング確認方法
login as: root
root@10.1.0.7's password:
BusyBox v1.33.1 (2021-08-31 22:20:08 UTC) built-in shell (ash)
_______ ________ __
| |.-----.-----.-----.| | | |.----.| |_
| - || _ | -__| || | | || _|| _|
|_______|| __|_____|__|__||________||__| |____|
|__| W I R E L E S S F R E E D O M
-----------------------------------------------------
OpenWrt 21.02.0, r16279-5cc0535800
-----------------------------------------------------
root@OpenWrt:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.1.0.1 0.0.0.0 UG 0 0 0 br-lan
10.1.0.0 0.0.0.0 255.255.254.0 U 0 0 0 br-lan
10.2.0.0 0.0.0.0 255.255.254.0 U 0 0 0 br-vlan2
10.3.0.0 0.0.0.0 255.255.254.0 U 0 0 0 br-vlan3
10.4.0.0 0.0.0.0 255.255.254.0 U 0 0 0 br-vlan4
10.5.0.0 0.0.0.0 255.255.254.0 U 0 0 0 br-vlan5
最後に
安価に購入可能な無線LANルータにOpenWRTを入れてVLAN設定すると、VLAN対応でかつ無線も飛ばせるスマートスイッチが3000円前後で設置出来てコスパ最高です。安物の無線LANルータとは言え、有線部分はギガビットなので、高機能なVLAN対応のスイッチと割り切って無線をOFFにしての運用も可能です。
ただし、無線LANルータを転用することによるネックはやはり有線LANのポートが4~5ポート程度しかない点です。ポート数が欲しい場合には、ASUSのハイエンド機等が8ポートありますしそちらを購入するか、単純にVLAN対応のスイッチを購入するのも手かと思います。
後、無線部分がWifi6ではない点ですが、末端に設置したいようなアクセスポイントはあまり無線速度を要求しない用途が多い為、全く気になりません。スピードベンチマークを取ると確かに速くてうれしいのですが、H.264エンコードされた2kサイズの動画はせいぜい10Mbpsあれば足りますし、4kだとしても40Mbps程度でしょうか。
H.264エンコードしない映像データを流す場合にはそれなりの帯域幅を求められますが、IPTV Server運用時で100Mbps程度でしょうか?Archer6 v2は200Mbps以上は常時出してくれるため、「末端部分は当分はwifi5で、OpenWRT対応のwifi6対応機器へ切り替えしたい」と思っています。
