フレッツ光マンションタイプの開通に端を発し OpenWrt の仮想化に舵を切り、2 枚の NIC を持つように VMware ESXi 用の自作 PC をアップデートしたのでした。 cube309b.hatenablog.com

• これまでの経緯のおさらい
• どう変えたのか Before (上段)/After (下段)
• OpenWrt の観点での変更は特になし (流用すら可能)
• OpenWrt 用の仮想マシンを作成する
  • vSwitch/ポートグループの作成
  • イメージの準備
  • 仮想マシンの作成
  • 仮想マシンの起動、OpenWrt 設定
• OpenWrt の仮想化を終えて

これまでの経緯のおさらい

• フレッツ光のマンションタイプの開通案内がきて、コスト削減のためにもプラン変更を志す
  ↓
• ONU の設置場所をリビングから自室に変更
  ↓
• 既存の ESXi 機をバージョンアップして NIC を増やしたことで OpenWrt の仮想化が可能に (今ここ)

どう変えたのか Before (上段)/After (下段)

OpenWrt の観点での変更は特になし (流用すら可能)

フレッツ光の戸建てからマンションタイプへの変更ではルーター側の設定は何も変更せずに行けると聞いていました。 実際、動作確認のために設定の入ったミニ PC を繋ぎ変えただけで再びインターネット接続が行えたぐらいです。

ただし、付与される IPv6 のアドレスが変更になるため変更後の回線から以下のサイトにログインして「再設定」を行う必要があり、この再設定を行うまで IPv4 の Web サイトへのアクセスのみが行えませんでした。 (IPv6 の Web サイトのアクセスは無条件で行えました。)

http://fcs.enabler.ne.jp/

OpenWrt 用の仮想マシンを作成する

vSwitch/ポートグループの作成

追加した NIC が ESXi 上で認識されているはずですので、新規 vSwitch 作成 ⇒ 新規ポートグループの作成をしておいてください。

イメージの準備

cube309b.hatenablog.com 上記の記事を参考にして OpenWrt-cv.vmdk ファイルを作成して、手元に準備します。 ポイントとして make image の引数に「open-vm-tools」を指定することで管理ソフトの VMware Tools がインストールされるので、ESXi の Web UI 上から仮想マシンのシャットダウンが可能になります！

仮想マシンの作成

1. ESXi の Web UI にアクセスして、仮想マシン作成ウィザードを起動します。

2. [名前とゲスト OS の選択] 以下の設定を行い、次へ を押します。

   設定項目	設定値
   ゲスト OS ファミリ	Linux
   ゲスト OS のバージョン	その他の Linux 5.x (64 ビット)

   

3. [ストレージの選択] 任意のデータストアを選択し、次へ を押します。

   

4. [設定のカスタマイズ] 以下の設定を行い、仮想マシン オプションタブを選択します。

   設定項目	設定値
   ハード ディスク 1	「×」ボタンで削除
   USB コントローラ 1	「×」ボタンで削除
   CD/DVD ドライブ 1	「×」ボタンで削除
   SATA コントローラ 0	「×」ボタンで削除
   ネットワーク アダプタ 1	LAN につながるポートグループを選択
   新規ネットワーク アダプタ	ONU につながるポートグループを選択

   

5. [起動オプション]-[UEFI セキュア ブートの有効化] チェックボックスをオフにし、次へ を押します。

   

6. [設定の完了] 完了 を押します。

   

7. [データストア ブラウザ] を起動し、準備した OpenWrt-cv.vmdk ファイルを仮想マシンのディレクトリ内にアップロードします。

   

8. 作成した仮想マシンの[設定の編集]ウィザードを起動します。

9. 前項でアップロードした OpenWrt-cv.vmdk ファイルを既存のハードディスクとして設定し、保存 を押します。

   

仮想マシンの起動、OpenWrt 設定

1. 作成した仮想マシンをパワーオンします。

2. OpenWrt は初期値である 192.168.1.1 を持って起動するのでコンソールで修正するか、クライアントを 192.168.1.x/24 のセグメントに変更して OpenWrt を設定します。eth0 = lan、eth1=wan/wan6 で設定します。 cube309b.hatenablog.com

OpenWrt の仮想化を終えて

これで適正なリソース (1CPU/1GB メモリー) で OpenWrt を起動できるようになりました。インターネット速度も仮想化しても落ちることもなく快適です。 おまけに設定変更のための一時的なバックアップなどもスナップショットで対応できるようになったのも大きいです。それでもスカスカですけどねw

一連の OpenWrt 研究の振り返りからしばらく間が空いてしまいました。この間、プライベートでいろいろあって更新が遅れてしまいました。今回は単発モノで自宅 (自室) の UPS を入れ替えたお話です。 cube309b.hatenablog.com

• 現状
  • そもそも UPS とは
  • 現行機種
• 入れ替えの経緯
  • 狙っていた機種
  • バッテリー損耗
• いざ入れ替えてみた
  • 入れ替え作業
  • 回収作業
• 問題発生
  • キーンという甲高い音がする・・・
  • 交換
  • 甲高い音は消えたもののそれでも冷蔵庫の音を小さくした音が聞こえる
  • 結論
  • 暫定案
• UPS の入れ替えを終えて

現状

そもそも UPS とは

多くの方にとって説明は不要かと思います。無停電電源装置ですので一言で言えばバッテリーです。 バッテリーと違う (高機能) なのは、通常時や停電時で挙動を変えたり電圧を補正して接続されている機器にやさしくなれるという点です。 この UPS は電源の供給方式により以下の 3 つに分類されます。

• 常時商用給電方式
• ラインインタラクティブ方式
• 常時インバータ給電方式

違いは詳しく以下で説明されていて、私が利用しているのはラインインタラクティブ方式です。 socialsolution.omron.com

現行機種

私の部屋では OMRON 製のラインインタラクティブ UPS 「BN75T」を利用していました。 なりは小さいものの 11kg と非常に重い点をどうする (継続利用する) か悩んでいました。

入れ替えの経緯

狙っていた機種

鉛バッテリーを搭載する昔ながらの UPS に対して、リチウムイオンバッテリーを搭載する機種がリリースされていました。 OMRON 製の「BL75T」です。BN75T より小型になり重量も約半分の 5.8kg です。 おまけにバッテリーの寿命も倍といいことづくしなわけですがネックは値段でして、

• BN75T < BL75T の値段
• BN75T 続投の場合はバッテリーだけ交換すればよい (BL75T は初回なので本体購入が必要)

BNB75T (BN75T の交換用バッテリー) が \25,000 前後に対して、BL75T は \80,000 前後という価格です。

バッテリー損耗

前回入れ替えたのが 2020 年の 12 月で、我が家では 4 年程度でバッテリーが劣化して交換が必要になるため本当は 2024 年に入れ替えを予定していたのすが、ヤフ●クで BL75T の未使用品が安く販売されていたため購入してしまったわけです。

いざ入れ替えてみた

入れ替え作業

電源製品ですので、場所を入れ替えて電源ケーブルを差し直せば終わりです。LED が常時 ON になっているのでこれは OFF の方が目立たなくてよいでしょう。

回収作業

UPS はそのままゴミには出せません。OMRON では無料で引き取ってくれるサービスがあるので既存機の破棄はそちらを利用すると良いでしょう。 socialsolution.omron.com

問題発生

キーンという甲高い音がする・・・

入れ替え直後は気にならなかったのですが、夜になって自室で作業をするとどこからともなくキーンという小さい音が聞こえます。 音量自体は小さいものの甲高い音なので一度気になるとずっと気になります。

交換

OMRON に相談したところ、個体不良の可能性があるということで交換になりました。

甲高い音は消えたもののそれでも冷蔵庫の音を小さくした音が聞こえる

やはり入れ替え直後は気にならなかったのですが、夜になって周りが静かになるとジーンという小さい音が聞こえます。 音量自体は小さくトーンも高くないものの一度気になるとずっと気になります。

入れ替え直後には聞こえなかった音ですので何か発生条件があるのかと調べてみました。 その結果、バッテリーが満タンになると鳴り始める音であることが判明しました。充電中は音がしないのです。

結論

内容を OMRON に問い合わせたところ、音の大小はあれども音自体は鳴り続けるのが動作仕様とのことでした。 鳴り続けではなく満充電になると聞こえ始めた理由についても、回答をいただけました。

つまり、実際には充電中も音は鳴ってはいるものの、充電電流が大きいことにより充電回路の発振周波数が高くなり、 周波数が高くなることで音が高音となるため人間の耳では聞こえないだけとのことでした。

暫定案

暫定ですがダンボールで UPS の囲いを作ると劇的に音が軽減されほぼ聞こえなくなりました。囲いを DIY しますか・・・。

UPS の入れ替えを終えて

音の問題は残念なところではありますが音に対して少し潔癖なところがある自分も良くはないので、これで行きます。無音は無理ですよね。

この記事では OpenWrt と ASUS ルーター (ASUSWRT) を用いた WireGuard VPN に関する設定を記載しています。 OpenWrt を用いて実家ルーターも入れ替えるつもりで各種検証をしていたわけで、それがなぜ ASUS のルーターに落ち着いたのかも併せて記載します。

• 実家のルーターに求めていた機能要件
• なぜ OpenWrt ではなく ASUS のルーターになったのか
  • インターネット接続
  • 無線アクセスポイント
  • 遠隔地故の安定性
• そんな時に見つけた WireGuard に対応した ASUS のルーター
  • その名は TUF Gaming AX4200
  • AX4200 の外観など
  • ASUSWRT って名前からしても OpenWrt の OEM みたいなもの？
• VPN に求める要件
  • やりたいこと
• AX4200 における WireGuard 実装方法
• OpenWrt における WireGuard 実装方法
• AX4200 側の WireGuard 設定方法
• OpenWrt 側の WireGuard 設定方法
• 加えて外部からモバイル等で接続する
• おまけ (Samba に WireGuard 越しで接続できない)
• 設定のための参考サイト
• 実家のルーター入れ替えを終えて

実家のルーターに求めていた機能要件

細かく言えば DHCP サーバー機能とか DNS サーバー機能とかありますが大きくは以下の通りです。 NAS とか VPN に関しては以前の記事のように OpenWrt での実装検証も済んでおりました (T-T)

なぜ OpenWrt ではなく ASUS のルーターになったのか

インターネット接続

V6 プラス (いわゆる MAP-E) はその性質上、ユーザーが利用できるポートが動的に 225 個に限定されるわけですが、セッション確立時に用いるポートに偏りが発生するなどの問題があるようです。 もちろん OpenWrt では解決策もあるようですがそれのためにまた一工夫必要とのこと。

無線アクセスポイント

OpenWrt は無線関係の性能が割と追いついていないようで、海外のコミュニティなどを見ても WiFi 6 の構成は安定させるのが難しそうでした。(技適がない、構成できない、速度が落ちるなど。。。)

遠隔地故の安定性

以前の記事で触れましたが OpenWrt は割とアップデートが大ごとです。また、通常利用に関しても自力解決が基本の製品です。自宅のようにすぐにローカルアクセスできるわけでもなく、OpenWrt での運用継続は心配でした。遊び < 安定というわけです。

そんな時に見つけた WireGuard に対応した ASUS のルーター

その名は TUF Gaming AX4200

未完成の WireGuard を採用している市販の VPN ルーターなど無いと先入観で思い込んでいましたが、ASUS は普通に対応していることを知り調査をした結果、 上記の要件 (やコストなども含めて) を満たしているルーターを発見して、それに乗り換えることにしたわけです。

www.asus.com

AX4200 の外観など

ASUSWRT って名前からしても OpenWrt の OEM みたいなもの？

ルーター OS のことを ASUSWRT と呼ぶ辺り、また、実際に触ってみた感覚からも中身は OpenWrt なんですかね。。。とすると、今までやってきたことも活きそうというのも採用した理由でした。

VPN に求める要件

やりたいこと

それまで利用していた Synology RT2600ac では OpenVPN サーバー機能は提供されていましたが、可変ポートで構成可能な Site to Site の VPN 機能はありませんでした。 どうせ最新のアーキテクチャーを採用するのであれば双方向で通信可能なように設定してみようと思います。

AX4200 における WireGuard 実装方法

特に機能追加などは必要なく、最新版のファームウェアにした状態であれば既定でメニューが存在するので設定するだけです。

やりようはあるのでしょうが手間を軽減する意味で、AX4200 → OpenWrt の順で設定するのがポイントとなります。AX4200 側で生成した公開鍵と秘密鍵を用いて OpenWrt の WireGuard を設定するわけです。

OpenWrt における WireGuard 実装方法

こちらは以前の記事を参照してください。 cube309b.hatenablog.com

AX4200 側の WireGuard 設定方法

インターネット接続や LAN 設定などの基本的な設定は済ませた状態で臨んでください。 押しやすいボタンの形状をしているのですが、一度 OpenWrt 側の設定を始めたら鍵の再生成などは行わないようにしてください。設定やり直しに。。。

1. [VPN サーバー]-[WireGuard VPN]-[詳細設定] Pre-shared Key (Secret) を有効に変更し、残り 2 つを無効化します。

   

2. [VPN サーバー]-[WireGuard VPN]-[全般] 以下の設定を行い、全ての設定を適用 を押します。

   

   設定項目	設定値
   Tunnel IPv4 and / or IPv6 Adress	重複しない任意のアドレス
   Listen Port	V6 プラスで利用可能なポート番号 ※

   ※ [システムログ]-[IPv6] v6plus Usable Port Range: に表示される。便利や・・・

3. [VPN サーバー]-[WireGuard VPN]-[全般]-[VPN クライアント] 追加 をし、以下の設定を行い、適用 を押します。

   

   設定項目	設定値
   Address	前項で作成した「重複しない任意のアドレス」のレンジ内の IP
   Allowed IPs (サーバー)	OpenWrt 側の LAN のアドレス
   Allowed IPs (Client)	AX4200 側の LAN のアドレス

4. 作成が終わったクライアントのエクスポート画面から PrivateKey、PublicKey、PresharedKey を控えます。

   

OpenWrt 側の WireGuard 設定方法

以前の記事で GUI 設定手法はお伝えしたので今回は CLI での設定方法で記載します。なお、設定自体はコマンドで実際に行ったのですが、ブログ掲載用に中身を修正した後の実行はしていません。

1. SSH で OpenWrt に接続し、変数を定義します。

   VPN_DEF="定義の全体的な名称 (任意)"
   VPN_S1N="OpenWrt 側の定義の名称 (任意)"
   VPN_S1G="OpenWrt 側のグローバル IP アドレス"
   VPN_S1L="OpenWrt 側の LAN 内のアドレス (前項で指定した値)"
   VPN_S1P="OpenWrt 側の待ち受けポート"
   VPN_S2N="AX4200 側の定義の名称 (任意)"
   VPN_S2G="AX4200 側のグローバル IP アドレス"
   VPN_S2L="AX4200 側の LAN 内のアドレス (前項で指定した値)"
   VPN_S2P="AX4200 側の待ち受けポート (前項で指定した値)"

2. 続けて、鍵情報をファイルに出力します。

   echo 前項でエクスポートした PrivateKey の文字列 > ${VPN_S1N}.key
   echo 前項でエクスポートした PublicKey の文字列 > ${VPN_S2N}.pub
   echo 前項でエクスポートした PresharedKey の文字列 > ${VPN_DEF}.psk

3. 最後に、実行コマンドを入力します。

   uci set network.wg0=interface
   uci set network.wg0.proto="wireguard"
   uci set network.wg0.private_key="$(cat ${VPN_S1N}.key)"
   uci set network.wg0.listen_port=${VPN_S1P}
   uci set network.wg0${VPN_S2N}=wireguard_wg0
   uci set network.wg0${VPN_S2N}.description=${VPN_S2N}
   uci set network.wg0${VPN_S2N}.public_key="$(cat ${VPN_S2N}.pub)"
   uci set network.wg0${VPN_S2N}.preshared_key="$(cat ${VPN_DEF}.psk)"
   uci add_list network.wg0${VPN_S2N}.allowed_ips=${VPN_S2L}
   uci set network.wg0${VPN_S2N}.route_allowed_ips="1"
   uci set network.wg0${VPN_S2N}.persistent_keepalive="25"
   uci set network.wg0${VPN_S2N}.endpoint_host="${VPN_S2G}"
   uci set network.wg0${VPN_S2N}.endpoint_port="${VPN_S2P}"
   uci commit network
   uci add_list firewall.@zone[0].network="wg0"
   uci add firewall rule
   uci set firewall.@rule[-1].family="ipv4"
   uci set firewall.@rule[-1].proto="udp"
   uci set firewall.@rule[-1].src="wan"
   uci set firewall.@rule[-1].target="ACCEPT"
   uci set firewall.@rule[-1].name="Allow-WireGuard(${VPN_DEF})"
   uci set firewall.@rule[-1].dest_port=${VPN_S1P}
   uci commit firewall
   /etc/init.d/network restart

4. これで接続可能になるので動作確認を行ってください。

加えて外部からモバイル等で接続する

もちろん可能でして、私は 外部 → 自宅 ⇔ 実家の Hub 型で構成しました。 この構成のポイントは、両端は直接つながっていないため、外部側にも実家側にもお互いのアドレスを Allowed IPs に含める必要があるというのがポイントです。

Point to Site の接続方法は以下を参考にしてください。 cube309b.hatenablog.com

おまけ (Samba に WireGuard 越しで接続できない)

AX4200 上に簡易 NAS の機能を構成したわけですが、WireGuard VPN 越しだと一切つながりません。LAN 内からは接続できます。 これは、Samba が既定で WireGuard VPN インターフェースでリッスンしていないことによるものです。そのため、以下の対応が必要となります。

1. [管理]-[システム]-[サービス] SSH を有効にするを選択してください。

2. SSH で AX4200 に接続し、/tmp/etc/smb.conf ファイル内の interfaces 行と hosts allow 行にアクセスさせたいセグメントを追加します。

3. smbd と nmbd のサービスを再起動させます。

設定のための参考サイト

設定に当たっては、以下の情報を参考にしました。が、正直意味が分からなかったので自分で試しました。。。当然ですが、ASUS ⇔ ASUS の想定ですし。

www.asus.com

実家のルーター入れ替えを終えて

ついに OpenVPN を止めて WireGuard に乗り換えることに成功しました。次回はちょっと現状を振り返る会にしてみたいなと。