OpenWRTでVLAN毎に無線LANを設定する(21.02対応)

以前、19.07でVLAN毎に無線LANを設定する方法を紹介しましたが、今回利用するルータ「ELECOM WRC-2533GST2」はスイッチの設定項目がメニュープルダウンになく、「TP-Link Archer C6 v2 (EU/RU/JP)」とはVLAN周りの設定方法が異なっていましたので、設定方法をご紹介します。

最終的に目指す設定と、その作業の流れ

VLANの設定変更時はLANケーブルを挿しているポートによっては変更が上手くいかなかったりと、慣れていないとハマる時があります。全体の作業の流れを把握して実施しないと、尚更混乱しますので、最終的に目指す構成頭に入れたうえで、作業の流れを解説します。

OpenWRT上で設定するVLANと、ESSID、ファイアウォール設定

最終的な設定は下表の構成を目指します。作った後に、VLAN毎に用途を当てはめてファイアウォールの設定を微調整すればいいかと思います。

VLAN ID無線LANルータの対応ポート無線ESSID許可する通信(ファイアウォールの設定)
WAN ポート 無しVLAN1~4から発生した通信とその戻り
OpenWRT本体から発生した通信とその戻り
1LAN1 ポート VLAN1VLAN1→OpenWRT本体:DNS、HTTP、HTTPS
VLAN1→WAN:HTTP、HTTPS
2LAN2 ポート VLAN2VLAN2→OpenWRT本体:DNS、HTTP、HTTPS
VLAN2→WAN:HTTP、HTTPS
3LAN3 ポート VLAN3VLAN3→OpenWRT本体:DNS、HTTP、HTTPS
VLAN3→WAN:HTTP、HTTPS
4LAN4 ポート VLAN4VLAN4→OpenWRT本体:DNS、HTTP、HTTPS
VLAN4→WAN:HTTP、HTTPS
OpenWRT上で設定するVLANと、ESSID、ファイアウォール設定

ご参考までに、私の場合は、VLAN1はサーバ、自PC用、VLAN2はスマホ用、VLAN3はIOT機器(Amazon Alexaや、スマートスイッチ)、VLAN4か防犯カメラ用となっています。

作業の流れ

OpenWRT21.02インストール時の注意事項とインストール後の初期設定」 を終えている前提で、下記の流れで作業実施します。

  1. 事前準備・前提条件の確認
  2. VLAN1~4インターフェースを作成
  3. VLAN2の設定を完成
  4. LAN2ポートに設定用PCを接続
  5. VLAN2からインターネット接続を許可
  6. VLAN3、4の設定を完成させる
  7. VLAN3、4からインターネット接続を許可
  8. VLAN1の設定を行う
  9. 無線を各VLANに所属させる
  10. 各VLANおよび無線LANの動作確認

1.事前準備・前提条件の確認

OpenWRT21.02インストール時の注意事項とインストール後の初期設定」に記載のセットアップが完了していることを前提条件としていますので、まだOpenWRTの初期設定が完了していなければ、設定を完了させてください。

また、VLAN設定時はネットワークインターフェースそのものの設定を変更するため、OpenWRT側でインターフェースの再起動等が実施されるたびにネットワークが切断される事があります。ですので、以下に設定にあたっての考慮事項を紹介いたします。

  • 有線LANケーブル(なくても200円前後でAmazonから購入できます)で接続して設定してください。無線の場合、設定変更のたびに接続が切れる等して、作業環境が不安定となります。
  • VLANの設定を失敗した場合には、無線経由でOpenWRTの管理コンソールに接続できればリカバリすることが多いです。
  • OpenWRT管理コンソールへ接続して設定する際は、設定変更対象とは異なるVLANや無線から接続して設定すると安定して設定変更できます。試行錯誤している際の教訓として、「設定変更対象に接続したまま該当のLANや無線の設定変更を行う」と、変なハマり方をする事がありました。

事前状態の確認

下記に、VLAN設定を進める前の設定値をご紹介しておきます。ここでは特に作業はしておらず、事前の状態確認のみです。

ネットワーク>インターフェース>インターフェースでは、LAN、WAN、WAN6があります。
ネットワーク>インターフェース>デバイスでは、無線LANルータに接続されているポートがbr-lanにまとめられていることがわかります。
無線LANの状態です。IEEE802.11bgn/IEEE802.11nac共に有効化済みで、接続しようと思えば接続できる状態になっています。
ネットワーク>ファイアウォールのゾーン設定です。

19.07→20.02で仕様変更(GUIはほかの場所へ移動)した画面

ご参考までに、以下は19.07のスイッチ設定画面ですが、20.02ではなくなっています。

上記画面がどこに行ったのかというと・・・・VLAN設定のみ以下に移動したようです。

ネットワーク>インターフェース>デバイス より「設定」をクリック
ブリッジデバイス「br-lan」のブリッジVLANフィルタリングを選択

2.VLAN1~4インターフェースを作成

VLANの追加

ネットワーク>インターフェース>デバイス より「設定」をクリックし、「ブリッジVLANフィルタリング」で、「VLANフィルタリングを有効化」にチェックしたうえで、必要なVLAN数分追加ボタンを押します。

※ここで、まだ保存を押さないでください。

VLANを必要数分追加する

次に、VLAN1のlan1ポートのプルダウンを押下してみてください。

VLANの設定項目が出ます。

上記の意味は下表のとおりです。

項目設定値備考
不参加そのVLANに参加しない該当VLANのパケットを一切流しません
Egress タグ無しVLANタグは付与しないが、該当VLANに属させる該当VLANの通信をタグを取り払った状態で流します。つまり普通にLANケーブルを挿せば該当VLANのDHCPサーバからIPが割り当てられ、通信可能です。
Egress タグ付き該当VLANタグ付きで通信可能とさせるVLANタグを付与したパケットを流します。VLAN対応スイッチと接続する際にVLANタグありで複数セグメントの通信を纏めて流せます。
プライマリーVLAN IDプライマリVLAN言葉の通り、プライマリVLANです。

OpenWRTのVLANの組み合わせ表示例は下表のとおりです。

アイコン選択状態通信タグプライマリ意味
×該当VLANに属さない
該当VLANのタグ無し通信を出す
上記のプライマリVLAN
該当VLANをタグ付きで出す
上記のプライマリVLAN

設定の意味が分かったところで、下図のように設定して保存します。

※GUIの不具合なのか、設定順序が悪いのか、設定反映されて画面が閉じないことがありました。その場合、保存を連打すると、VLANインターフェースが大量に作られてしまいましたので、一度閉じるで閉じたのち、再度同じ画面を出して、「VLANフィルタリングを有効化」にチェックを入れたのみで保存することで、以下のように意図した設定となりました。

上記設定をすることで、VLANデバイスが4つ作成されます。

※接続が切れてしまってロールバック画面が出てしまったりする場合、一度無線経由でOpenWRT管理コンソールへアクセスし、設定してみてください。設定後VLAN、メニューからネットワーク>インターフェース>デバイスへ再度アクセスしたところ、再度アクセスする前はGUI上表示のなかった下図の赤枠内のインターフェースが表示されたり、GUI上、微妙な動きがありました。

3.VLAN2の設定を完成

次に、インターフェース画面から、インターフェースの新規作成を行います。

まずは、VLAN2のインターフェースから設定変更していきます。というのも、VLAN2を作ったら、VLAN2の属するポートへLANケーブルを挿して、VLAN2のDHCPサーバからIPをもらって作業することで、安定して作業できるようになるからです。

インターフェースを作成ボタンを押すと、下記の画面になりますので、一般設定から、プロトコルを静的アドレスにし、デバイスを先ほど作成したVLAN2のデバイスであるbr-lan.2を選択。IPv4アドレスとネットマスクは適宜設定してください。私の場合、10.2.0.1/16で設定しています。

次に、ファイアウォール設定で、未設定となっている箇所をVLAN2と指定してエンターキーを押します。そうすることによって、ファイアウォールのゾーンとしてVLAN2を作成するように指定できます。

このVLAN2のファイアウォールゾーンを一緒に作らずとも後から作成することは可能ですが、作っておくと、この後すぐにACLを設定してVLAN2→WANの通信を許可することができ、楽です。

VLAN2を作成するように指定した後のファイアウォール設定画面の表示は下記のとおりです。

次に、DHCPサーバタブから、DHCPサーバをセットアップを押します。

DHCPサーバは必要に応じて内容を修正してください。特に詳細設定をせずともデフォルト値でも
。ここまで設定出来たら保存を押します。

上記までの操作で、下図のとおりVLAN2インターフェースが作成されますので、保存&適用を押してください。

4.LAN2ポートに設定用PCを接続

ここまで作業が完了したらVLAN2に属するポート(当設定例ではLANポート2)に、設定用PCのLANケーブルをつなぎなおしてください。VLAN2のDHCPサーバからIPが振られていると思います。

Windowsの場合にはipconfigコマンド、mac/linuxの場合にはifconfigコマンド、またはip -aコマンドでIPを確認します。

※この時点で、VLAN2からインターネット(WAN)へは接続を許可していないため、インターネット接続ができません。次の作業でインターネットへ通信できるよう、ファイアウォールの穴あけを行います。

5.VLAN2からインターネット接続を許可

ネットワーク>ファイアウォール>Traffic Rulesから、追加を押します。

下図のように、VLAN2をソースゾーンとして、宛先ゾーンをWANにします。そして、宛先ポートに「80 443」(80と443の間は半角スペースが必要)として指定し、保存を押します。

上記で追加したファイアウォールルールを保存&適用します。

ここでネットワークに詳しい方であれば「DNSも空けないと通信できないのでは?」と思うかもしれませんが、OpenWRTの設定では、ファイアウォールの一般設定にあるゾーンのデフォルト値でOpenWRT本体(表記上はCPU)への通信を許可しているため、DNSの穴はあけずともインターネット閲覧ができるようになります。

6.VLAN3、4の設定を完成させる

続いてVLAN3、VLAN4についてもVLAN2同様に設定を変更します。VLAN2の説明で画面操作を詳しく解説したため、下記は簡略化して説明します。

VLAN3のインターフェースを作成します。

詳細設定タブで、br-lan.3に関連付け、必要な設定をします。

ファイアウォール設定タブで、VLAN3のファイアウォールゾーンを作成します。

DHCPを有効にして保存します。

VLAN4については、上記VLAN3を読み替えて設定してください。

VLAN3とVLAN4を設定出来たら、保存&適用をします。

7.VLAN3、4からインターネット接続を許可

VLAN2でやったように、VLAN3、VLAN4からもインターネット接続利用可能なように、ファイアウォールの設定をします。

ネットワーク>ファイアウォール>Traffic Rulesから、追加を押します。

VLAN2のファイアウォールの設定時と同様に、下図のとおり設定して保存します。

VLAN4についても同様に設定してください。

その後、保存&適用します。

ここまででVLAN2~4は完成しました。続けてVLAN1を作っていきます。

8.VLAN1の設定を行う

ネットワーク>インターフェース>インターフェースから、新規作成を押します。

VLAN1インターフェースを下記の通り作成します。

VLAN1のプロトコルやデバイスを設定します。下図ではIPアドレスが10.1.10.1/24となっていますが、10.1.0.1/16、ないしは10.1.0.1/24で設定してください。

(私は、WAN側が10.1.0.1/23なので、全部の設定が完了したら10.1.0.1/16へ変更予定です。)

VLAN1のファイアウォールゾーンを作成します。

DHCPサーバを有効にして保存を押します。

VLAN1インターフェースが出来たら保存&適用をします。

この時点でLANインターフェースがありますが、これは一旦このままにしておいて下さい。

続いて、VLAN1のファイアウォール設定を作ります。

ネットワーク>ファイアウォール>Traffic Rulesより、追加を押します。

VLAN1用に下図のとおり設定して保存します。

保存&適用をします。

9.無線を各VLANに所属させる

続いて、各VLANに紐づく無線LANを設定します。今までの設定では、無線箇所はいじっていないため、 「OpenWRT21.02インストール時の注意事項とインストール後の初期設定」 で設定したままの無線設定になっていると思います。ここから無線設定を8個(VLAN数×2.4Ghz帯、5Ghz帯の計2個分)のESSIDを追加していきます。

※VLAN数分のESSIDを追加することを強制するわけではありません。有線しか無いVLANや、AP(OpenWRTをアクセスポイントとして利用している場合)として利用している場合等で、その部屋の近辺では不要なESSIDであれば、必要最小限の設定にとどめても良いかと存じます。

※ESSIDとしてVLAN1~4を指定していますが、お好みのESSIDに変更してもらって構いません。この画面で操作しているのは「VLANに対応する無線アンテナ設定を追加し、VLAN毎に好きなESSID名で無線を出す」設定だけですので、例えば「MyOpenWRT01」とかのESSIDでもOKです。

無線には、IEEE 802.11bgn(2.4Ghz帯)と、IEEE802.11nac(5Ghz帯)があります。下記では、 IEEE 802.11bgn(2.4Ghz帯) への追加を例として実施していますが、ほかの帯域についても同様に追加してください。

下図のとおりESSID等を指定します。

最低限、無線セキュリティの暗号化を「WPA2-PSK/WPA3-SAE Mixed」に設定し、キー(無線LAN接続時のパスワード)を設定してください。設定し忘れると近隣の人に宅内環境を無償公開してしまうことになります。

無線設定を保存すると、下図のとおり追加した無線設定が表示されます。保存&適用をしてください。

5Ghz帯や各VLANの設定を必要数分作成して保存&適用を行ってください。VLAN1~4の設定を追加した結果は、下図のとおりです。elecom01というESSIDが初期設定のものlanインターフェースに所属したままで残っていますが、ここではまだ削除しません。(一番最後に削除します。)

10.各VLANおよび無線LANの動作確認

お疲れさまでした。ここまでで各VLANの設定と、VLANに紐づく無線を設定することができましたので、動作確認をしてください。無線LANルータ背面のポートごとにVLANを指定しているのであれば、ポートを差し替えることで、差し替えたポートごとに異なるアドレス帯が配られていることを確認してください。

本手順をカスタムしている場合には異なるかもしれませんが、カスタムしていなければ以下のようにIPが割り当てられると思います。

有線ポート(LANケーブルを挿して確認)ESSID(無線接続して確認)IPアドレス
ポート1VLAN110.1.0.0/16
ポート2VLAN210.2.0.0/16
ポート3VLAN310.3.0.0/16
ポート4VLAN410.4.0.0/16

11.仕上げ

br-lanインターフェースのIPアドレスが192.168.1.1のまま残っており、かつそのインターフェースでDHCPサーバを有効としているままだと思います。全ての通信をVLANインターフェースから行うのであれば、br-lanがIPを持っていることもDHCPサーバを担っていることも不要な為、不要な設定をなくします。

ネットワーク>インターフェースより、LANの編集を押します。

一般設定から、プロトコルをアンマネージドにします。

続いて、DHCPサーバの一般設定から、インターフェースを無視にチェックを入れます。

上記で無効化できると思っていたのですが、ログに下記メッセージが表示されました。

OpenWrt odhcpd[1754]: A default route is present but there is no public prefix on lan thus we don't announce a default route!
OpenWrt odhcpd[1754]: Failed to send to ff02::1%lan@br-lan (Operation not permitted)

DHCPv6はそれはそれで停止させる必要があるようなので、下記のようにRA-Service、DHCPv6-サービス、NDPプロキシを無効にして保存します。

最後に、保存&適用してください。

また、必要に応じて下記の対策を実施します。

  • 無線毎にVLANを設定する際、不要な無線を残したままであれば削除します。
  • VLAN対応スイッチや、OpenWRT化した無線LANルータ2台目を購入し、その間をLANケーブルで配線しネットワークの面積を増やします。ただのVLAN兼用アクセスポイントの場合、3000円前後で入手可能なTP-Link Archer C6 v2等で十分(当方は3台ほどAPとして設置しています)です。OpenWRT化する前提で速度が欲しい場合にはASUSやネットギア製等が良いと思います。

タグ . ブックマークする パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください