我が家のネットワーク環境は、WAN側がJCOMのサービスを利用している。JCOMサービスの場合、必ずJCOMのルータモデムを使わないといけないので、これまでCISCO DPC3828Dというものをレンタルして使っていた。
しかし、このDPC3828Dは兎に角電波が弱い。5GHzだけでなく、2.4GHzの方でさえ二階でWiFiが使えない部屋がある。電波が弱い方が家の外まで届かないのでセキュリティ上は良いのだが、家の中で使えない部屋があるというのは論外だ。そしてMACアドレスフィルタリングをやろうとすると、此奴は32個までしか機器を登録できない。我が家のネットワーク機器は既に32個を超えており、これでは役に立たない。そこでルータをやってみた新しいものに交換することとした。
機種選定
必要条件としては、
◆最新の規格に対応していること(と言ってもacまで対応していればよしとする)
◆高速であること
◆セキュリティ機能に問題がないこと
◆VPNサーバーの機能があること(無料DDNSが使えないとランニングコストがかかるのでこの点も重視)
◆USB3.0対応のNASが使えること
◆有線ポートが6個以上あること
◆MACアドレスの登録が40位上できること
◆設定ソフトウェアが使い易いこと
というわけで、色々と吟味した結果、機能性能的に候補に上がったのは下記の三機種だ。
1 台湾製 ASUS RT-AC88U
2 米国性 Netgear Nighthawk X8 R8500-100JPS
3 中国製 TP-Link Archer C1200
我が家の契約しているJCOMサービスは、まだ1G on au光ではない400Mのタイプなので、家の中は1G以上あれば十分だ。それ以上あってもオーバースペックである。その点では何れの製品もクリアだ。
VPNに関しては、家人のスマホが全員iPhoneなのでOpenVPN対応していることが必須だ。PPTPしか対応していない機種では駄目だ。その点もこの三機種はクリアだ。
価格面では2017年8月現在の実売価格で、RT-AC88Uは25000円強、R8500-100JPSは20000円弱、 C1200は5000円弱だ。コストパフォーマンスは C1200が圧倒的に高い。
セキュリティ面に関してはどうか。そもそもTP-Linkは中国製という時点で怖くて使えないわけだが、客観的に評価してもTP-Link製品には脆弱性が報告されている。何しろ9時から17時まで(業務として)世界中にサイバー攻撃を仕掛けている専門部隊のいる国の製品だ。意図的という点も疑われる。この時点で C1200が選択肢から落ちた。そう言えばASUSも2014年だったか2015年に米国でセキュリティの脆弱性で問題になったが、和解が成立しているので取り敢えずよしとしておく。
ビームフォーミング、MU-MINO対応、電波強度何れもRT-AC88UとR8500-100JPSは甲乙つけがたい。購入前で実測できないので詳細は不明だが、3バンド使えるR8500-100JPSの方が速度的には若干有利かも知れないが、これも大差ないレベルと判断した。NAS機能にも差がないと見られる。MACアドレス登録数も問題なし。設定ソフトウェアに関してはNetgear genieの評判がいいが、ASUSも悪くない。
最終的に決定要因となったのは、RT-AC88UがトレンドマイクロのAiProtectionを搭載していることと、有線ポート数がR8500-100JPSが4つなのに対し、RT-AC88Uは8つ搭載しているという点だった。RT-AC88Uに決定だ。
結果的に一番高い買い物となった。物理的なサイズもデカい。
設定
まずは、JCOMからレンタルしているCISCO DPC3828DのWiFi機能とルータ機能を殺す。要するに無線AP機能を無効化した上で、ルータモードではなくブリッジモードに動作変更する。順番を間違うと面倒なことになる。先にブリッジ化してしまうと192.168.1.1で設定モードに入れなくなり、無線AP機能をオフに出来ない。リセットして最初からやり直しになる。考えてみれば当たり前なわけだが、物事の順番は大切だ。
そこさえクリアしてしまえば、あとはDPC3828Dから一本出力し、RT-AC88UのWANポートに繋いでやれば、取り敢えずは無線LANも有線LANもReady状態になる。
しかし、このままではセキュリティ上色々問題だ。
まず最低限、最初にやらなければいけなことがある。
1 ルータの管理者IDとパスワードの変更
これだけは真っ先にヤラないとまずい。規則性のない文字と数字、記号を組み合わせて十数文字でいっとく。
安全なパスワードを生成してくれるサイトを利用するのもいい。
2 SSIDの設定とパスワードの設定(設定しないとかデフォルトとかあり得ない)
3 ファイアウォールはデフォルトで有効だが、DoS保護も有効化
4 一通りWiFi機器を接続し終えたらWPSを無効化
5 AiProtectionを無効化有効化(悪質サイトブロック、脆弱性保護、感染デバイス検出/ブロック)
多少性能が劣化してもセキュリティに優先する設定などない。
6 UPnPなんぞ当然無効化だ
7 IPv6 Nativeモード
プロバイダでIPv6 Native サービスが使えるので有効化する。
7 セキュリティ評価を確認
オールグリーン。ここまでで取り敢えず最低限の設定だ。SSIDのステルス化やMACアドレスフィルタリング等、その他にもゴニョゴニョやるわけだが、ここから先は非公開情報だ。
8 OpenVPNの設定
最低限の設定ができたところで、今回ルータを交換することにしたもう一つの目的であるVPNサーバ機能の設定に移る。
(1) DynamicDNSアカウントの取得
まずはじめに、DynamicDNSのアカウントを取得する。今回RT-AC88Uを選んだ理由の一つに、DDNSサービスをASUSが無料で提供している点だ。WWW.ASUS.COMにホスト名を登録する。
WANメニューのDDNSから設定する。
希望するホスト名を入れて「適用」するとホスト名が登録される。
(2) VPNサーバ機能の有効化
次にVPNサーバー機能を有効化する。我が家では家人が全員iPhone持ちなので、PPTPではなくOpenVPNの方を有効化する。
ここで、ユーザ名とパスワードを入れて追加ボタンを押すと、RT-AC88UのVPNサーバに登録されるので、設定情報をファイルにエクスポートする。今回はファイル名を「client.ovpn」という名前でエクスポートした。
(3) クライアントの設定
AppStoreから「OpenVPN Connect」というAppをiPhoneにダウンロードする。
これだ。
ここで先程エクスポートした設定ファイルを家人のiPhoneすべてにメールで送りつける。iPhone側でファイルを開き、上でインストールしたOpenVPN Connectにインポートする。
OpenVPN Connectを起動し、RT-AC88Uに設定したID、パスワードを入力して「Connect」にスライドすると、iPhoneがVPNクライアントを介して我が家のRT-AC88Uに接続されるという寸法だ。
これでWiFi接続だろうが4G接続だろうがOpenSSLで暗号化されて通信されるので安心。
この通りWiFiマークの隣或いは4Gマークの隣にVPNと表示されている。格好いい。
電車の中で隣にいる奴が持っているiPhoneとは違うExclusiveな気分が味わえる。いや気分だけじゃない。
多少速度を犠牲にしてもネットライフは安全第一だ。まぁ殆ど速度低下は感じないが。
(注) DynamicDNSのアカウントを取得したのに何処で設定したんだという疑問が沸くが、実は設定ファイルに情報がエクスポートされていて、iPhoneでインポートした段階で設定されている。
因みに、OpenVPNクライアントには色々なOS対応バージョンがあるので、自宅や家族が使っているノートPCにも設定した。これでモバイルデバイスでwifiを利用してインターネットにアクセスする時のセキュリティが少しは向上した筈だ。
以上