OpenWRTでVLAN毎に無線LANを設定する方法


OpenWRTでAPやルータを構成していおり、かつVLANも利用している場合、VLAN毎に無線を分けたいというニーズがあります。

目指しているネットワーク構成図は以下で、普段使いのLAN、仕事用のOffice、ゲスト用のGuests、それにIOT機器(というか殆ど監視カメラ)用でそれぞれ別のVLANにしたいというニーズの元、構築しました。

VLAN ID名前備考
1家庭内NW機器、サーバ、iPhone、Android、PC等々。VLAN4の監視カメラを収容する録画サーバもこちらに設置。
2仕事用仕事用のPC設置用。在宅勤務等に。他セグメントとは通信できなくて良い
3ゲスト用DNS、MAIL(送受信共)、HTTP、HTTPSのみ、インターネットと通信可。他セグメントへは通信不可
4監視カメラ用LAN接続タイプの監視カメラは、最悪末端のLANケーブルを抜かれてそれを攻撃者のノートPC等に挿される可能性を考慮して、他のセグメントへは通信不可、インターネット接続不可、録画用サーバへのONVIF通信のみ許可としています。
999WANインターネット側(画像の一番上の光終端装置、ないしは、ISP提供の終端装置と接続)

本当は10GBase-T等(家を建てる際のLANケーブル敷設について(10GBps対応))も導入し、APも3つある構成なのですが、上記の図には、簡略化のためにL2SWと本件で構築するOpenWRTルータと各クライアントのみを記載しています。

※APにOpenWRTを使わない場合には、WAB-M1775-PSを利用すると同じことが出来ます。

※OpenWRTをルータとして利用する場合も、APとして利用する場合もほぼ同様の設定で利用可能です。APとして利用する場合には、WAN側LANケーブルを挿さずに、DHCPサーバ機能を無効にして構築します。

OpenWRT事前設定(タイムゾーン設定、SSL有効化、日本語化)

OpenWRTを初期化した直後の状態を想定します。まずは、最初に基本的な初期設定を済ませます。

OpenWRTを初期化した直後のデフォルトURLであるhttp://192.168.1.1/へアクセス、ログインし、Systemより、ホスト名、タイムゾーンを設定し、保存します。

System>Softwareを開き、Update listsを押した後、Filterから「luci-ssl」で検索し、該当スフとウェアをインストールします。

同様に、「luci-i18n-base-ja」をインストールします。

SSHコンソールから作業している場合には、WEBサーバを再起動すればいいのですが、GUIからの作業であれば、単純にSystem>Rebootより再起動します。

再起動する。

再起動後も「パスワードが設定されていません!」と出ているので、システム>管理よりパスワードを設定します。

OpenWRTのVLAN設定

ここから先は、設定を間違えるとルータにアクセスできなくなる可能性があります。そのため、先にルータのリセット方法をご紹介しておきます。結論から言うと背面にリセットボタンがついている機種の場合、10秒以上押下することでリセットできます。

ご参考:「OpenWRTのハードウェアリセット方法(ボタン押下)

スイッチ(VLAN)の設定

最初に、ネットワーク>スイッチを開くと、デフォルトではVLAN1がLAN側、VLAN2がWAN側に設定されています。この構成で構わなければこのままでOKです。

既存のVLAN構成でVLAN2をすでに利用している場合には、VLAN2⇒VLAN999等、適当に変更してください。

WAN側のVLANIDを2⇒999へ変更

次に、VLAN2~4を追加します。各々の環境で想定していただいて構いませんが、以下のように役割を明確化しておくと良いです。業務用だとVLAN2が総務、VLAN3が人事、VLAN4が・・・といった感じでしょうか。

VLAN ID名前備考
1LANNW機器、サーバ、iPhone、Android、PC
2Office仕事用
3Guestsゲスト用
4IOT監視カメラ等
999WANインターネット側

VLAN2~4を追加して保存&適用するために、VLANを追加ボタンを3回押下し、LAN1にタグ付きを設定します。LAN1は別のスイッチとLANケーブルで接続されている想定で、タグ無し:VLAN1と、タグ有:VLAN2~3を1つのLANケーブルで通信させる設定としています。

CPU側と場合には、CPU側をタグ付きとします。LANポート毎に、タグ無し、タグ付き、オフが選べます。ここでCPU(eth0)のVLAN2~4を全てタグ付にしても、問題ありません。

設定意味備考
オフ該当ポートへはVLAN〇のパケットを一切送らない新規作成したばかりのVLANは基本オフを選択
タグ付き該当ポートへはVLAN〇タグが付いたパケットを送るVLAN対応スイッチとタグ付きパケットをやり取りするポートはでは、タグ付きを選択
タグ無し該当ポートはVLAN〇に来たパケットを送る。VLANタグは付けない通常のPCやサーバを挿すポート。一つのポートでタグ無しは1つしか選択できない。

ファイアウォールの設定

ファイアウォールの設定をします。ネットワーク>ファイアウォールを選択し、Zonesの追加を押下します。

以下のようにVLAN2のファイアウォール設定を追加し、保存します。

上記と同じ手順で必要なVLAN数分、同じことを繰り返します。結果は以下画面の通り。

現状、ファイアウォールの中はほとんど何も設定していない状態ですが、ここで作成したファイアウォールは、後続のインターフェースの追加で指定するので、まずはガワを作成しました。

インターフェースの追加

ネットワーク>インターフェース画面から、インターフェースを新規追加します。

ネットワーク>インターフェース

以下のようにインターフェースを作成します。

インターフェース作成をすると、その次に該当インターフェースの設定を聞かれます。一般設定では、以下の通り設定します。

当方は、VLAN2を10.2.0.1/23で利用したいので以下の通り設定していますが、192.168.2.0/24で設定してもいいと思います。

詳細設定は特に指定無し(必要に応じて修正してください。)

デバイス設定では、VLAN2に括り付けたいので、インターフェースにeth0.2(VLAN2)を指定します。

ファイアウォール設定は後で変更可能なので、未指定としても問題ありませんが、今回は事前にVLAN2用のファイアウォールを作成しておきましたので、それを指定します。

DHCPサーバ設定では、開始IPアドレスから、何個割り当てるか(制限)と、リース期間を指定できます。APモードとして利用する場合はここを指定してはいけませんが、ルータモードで利用する場合には、これを設定します。

※VLAN毎にDHCPサーバを設定することで、VLAN毎のDHCPサーバを設定することが出来ます。これを構成することで、VLANセグメントごとにそのVLANにあったIPを付与できるようになります。

一般設定、詳細設定、デバイス設定、ファイアウォール設定、DHCPサーバが設定出来たら、保存を押下します。

VLAN2のインターフェースが作成できていることを確認し、保存&適用します。

同じ要領でVLAN3~4のインターフェースも作成します。作成しきった画面は以下の通りで、最後に保存&適用を押下して設定反映します。

VLANに対応する無線設定

ネットワーク>無線を選択します。初期状態は無線が全て無効になっている為、その設定を行います。5Ghzの設定と、2.4Ghzの設定が別々に存在する為、その各々について編集を押して、まずは、VLAN1に対応する設定を行います。

【5Ghz】一般設定(上下のタブ両方とも)

【5Ghz】詳細設定、無線セキュリティ

【2.4Ghz】一般設定(上下のタブ両方とも)

【2.4Ghz】詳細設定、無線セキュリティ

無線の有効化

ここまで来たら、SSIDがvlan1となるAPが起動しています。iPhoneや、適当な無線LANクライアントで接続を試してみてください。

VLAN2~4に対応する無線設定

ここからが本番で、VLAN2~4に該当する無線設定を行います。まずは、無線radio0(5Ghz)の右側にある追加を押下します。

vlan1の時とほとんど同じです。違う点はESSIDがvlan2になっているのみです。

詳細タブも、vlan1とほぼ同様です。暗号の箇所は自動を選択することも可能ですが、選択出来うる中で最高の物を選ぶことをお勧めします。WPA2と強制CCMP(AES)の組み合わせかWPA3(このルータはサポートしていないようで選択肢に出てきませんでしたが)になるかと思います。

保存を押下すると、VLAN2の無線設定が出来上がります。ESSIDをVLAN2~4に変えて、以下画面のようになるまで設定を繰り返します。設定が完了したら、保存&適用を押下し、設定反映します。

上記までで、VLAN1~4に応じたIPアドレスが有線、無線共に設定され、インターネット(WAN)へアクセスできるようになったかと思います。APモードで利用したい場合で、あまり手をかけたくない場合にはここまでで終了でも問題ないかと思います。しかし、デフォルト設定では大半のルータを購入した場合と同様、WAN⇒LAN(VLAN1~4)はすべて拒否、LAN(VLAN1~4)⇒WANはすべて許可。VLAN1~4内の通信もすべて許可となっています。

このままでは、セキュリティ面が心配なため、次の投稿「OpenWrtのFirewall設定を読み解きVLAN含めてセキュアなフィルタ設定を行う」でOpenWRTのファイアウォール設定をご紹介します。(OpenWRTのファイアウォール設定ですが、若干わかりにくく、設定してはiptables -L -nで確認してを繰り返してやっと理解できました。)

タグ , , . ブックマークする パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください