Netgear R7800 の OpenWrt 化

最新の OpenWrt R7800 用ファームウェア(hnyman ビルド)のインストール

NetGear R7800 は一部のハードウェアチップ用ドライバーが非公開のためサポートされていないもの(ハードウェア NAT 機能)もあるが、全体としては Linux カーネルの更新に追従し続けているため、発売当時の OpenWrt ベースのままである純正 OEM ファームウェアよりもはるかに良くなっている(👉 Some notes on the current support in OpenWrt

このルーターは 2016 年末頃から OpenWrt コミュニティによってサポートされ続けており、既に十分に安定化しているので、迷わず OpenWrt 化することを決意した。特に、R7800 についてはコミュニティの中心的人物である hnyman 氏がコミュニティビルドを用意しており、絶大な支持を集めているので、その通称 hnyman ビルドの stable 版を用いた。

OEM 版からの GUI のファームウェア更新機能を利用してファームウェアを乗せ換えるので、使ったのは *-factory.img である(*-sysupgrade.bin は OpenWrt 化済の場合に OpenWrt の GUI からアップデートする場合に使うもの)。もちろん、TFTP から *-factory.img を書き込むことも可能(反対に純正 OEM 版に戻す場合も TFTP から R7800-V1.0.2.68.img を書き戻せばよい)。

ちなみに、コミュニティで hnyman 氏らが慎重に検証していたが、OpenWrt 化に先立って予め、何らかの失敗に備えるために純正版の mtd をバックアップしておくような作業をする必要はない。OEM 版ファームウェアを書き戻す際に、付随する設定値を格納するパーティションも初期化されて復活するようになっているようである。そういう意味でやはり Netgear はカスタムファームウェアに対しては非常に寛容で好感の持てるメーカーであり、チップのドライバーの公開・非公開次第では OpenWrt フレンドリーな製品となりやすいブランドだと思う。

Wi-Fi 設定の初期化

👉 OpenWrt での Wi-Fi 設定(OpenWrt 一般)

SSH の認証用公開鍵の登録

👉 OpenWrt での SSH 設定(OpenWrt 一般)

NTP の設定

👉 OpenWrt での NTP 設定(OpenWrt 一般)

特に急ぐ必要はないが、同じシステム設定なので、SSH を設定する流れてやっておいた。

ポートマップ・パケットフィルターの設定と実運用環境への設置

次に、この OpenWrt 化 R7800 は前回の記事における実家のネットワークにおける GateKeeper として設置するために行っているので、最小限のセットアップを整えたら、GateKeeper として実家に配置して、以後、配置された状況の中でセットアップを続行する必要がある。一旦、実家のネットワークに組み入れてしまえば、元々 OpenVPN も使える環境なので、以後は実家に行かずとも、OpenVPN 越しに設定作業を続けることができる。

まず、周辺機器の設定が不要となるようにするために、従来の GateKeeper の Wi-Fi の SSID とパスワードを引き継いで同じになるように設定した。さらに、従来の GateKeeper の WAN 側アドレス 192.168.0.254 も引き継ぐため、WAN インターフェースの設定を初期設定である「DHCP クライアント」から「固定アドレス」にして、IP アドレス、ネットマスク(ブロードキャストアドレス)、ゲートウェイアドレス、DNS アドレスを手動設定した。

また、従来の GateKeeper は DMZ と家庭内 LAN との間の L3 ハブとなるルーターだったので、ポートマップパケットフィルターの設定だけは最低限受け継いでおく必要がある。

フィルタリングルールの参考リンク
ゼロから始めるLinuxセキュリティ
OpenWrt はあくまでも Linux なので、ファイアーウォールの設定などは Linux の仕様に従うことになる。
Linuxで作るファイアウォール
OpenWrt: Firewall
全体では膨大なドキュメント量だが、特に必要なのは“Firewall configuration /etc/config/firewall”だろう。
Poor Man's Bridge Mode
OpenWrt の公式ドキュメントによると、プロバイダーから提供される HGW(ホームゲートウェイ)と OpenWrt ルーターとの接続方法については、レイヤーの高い順に 1: ゲートウェイ; 2: ルーター; 3: ブリッジと大別されている(ゲートウェイはルーター+ WAN モデムとしての運用)。
そのドキュメントの中で IPv4 における Double NAT 問題に対して採りうるストラテジーとして、最良なのは HGW をブリッジとして運用することだが、これは VoIP 電話を使う場合は断念せざるを得ない(VoIP 電話が HGW のルーター機能を前提としているため)。そこで次善の策となるのが、“Poor Man's Bridge Mode(貧者のブリッジモード)”で、HGW をルーターモードで運用しつつ、DMZ 機能を使って OpenWrt ルーターを接続するストラテジーである。自分の場合も、実家では、VoIP(ひかり)電話を利用しているので、このストラテジーを採用する。
ブロードバンドルータの内と外
  1. IPマスカレードは、LAN側ノードのIPアドレスとポート番号を、ルータのWAN側のIPアドレスと任意のポート番号に変換して、LAN側ノードにインターネットへのアクセス手段を提供する。また結果的に、WAN側からのLAN側への侵入を阻止する
  2. フォワーディングやDMZは、LAN側の任意のIPアドレスへと変換することによって、逆にLAN側へのアクセス手段を提供する
  3. パケットフィルタリングは、ある一定のルールによりパケットのルーティングの許可/禁止を行う。ブロードバンドルータでは、LAN→WAN方向のみに適用される

DHCP サーバー機能の移行

DHCP サーバーとしての機能は、元々 GateKeeper(192.168.1.1)の立ち位置にあるルーターとは別のブリッジ化した OpenWrt 機(192.168.1.254)に担わせていたので、今回 GateKeeper を R7800 に置き換えるにあたって、当初は R7800 側の DHCP の設定はノータッチのままだった。

とはいえ、デフォルトでは R7800 側の DHCP も稼動しているので、そのままでは競合が起こるかもしれないので、まずは双方の Authoritative チェックを外して無効にしてから → 元の DHCP の Static Lease 設定を R7800 に書き写し → 元の DHCP Sever の機能を停止(わかりにくいが、DHCP の設定からではなく、LAN インターフェースの設定の DHCP Server タブの Ignore interface のチェックを有効にすることで off にできる)→ 最後に再び R7800 の Authoritative チェックを有効にする、という順番で移行を行った。

OpenVPN サーバー機能の移行と WireGuard への移行

👉 OpenWrt の OpenVPN(サーバー)についての包括的メモ

GateKeeper とは別のブリッジ運用していた OpenWrt ルーターに担わせていた OpenVPN サーバーの機能を、新しい GateKeeper に移転した。

さらに、WireGuard も初導入し、OpenVPN をリプレースすることにした。

(以上)

コメント

コメントを投稿

このブログの人気の投稿

清水俊史『上座部仏教における聖典論の研究』

清水俊史さんという仏教学者(佛教大学出身)が、東大教授(花園大学卒→東大編入 or 再入学?)の馬場紀寿氏と論争の末、アカハラ被害に遭い、さらには出版妨害に遭った(参考: 日本テーラワーダ仏教教会 事務局長 佐藤哲朗さんの YouTube 動画 )という、問題作であるこの本を読んだ。 佐藤さんが紹介している Amazon の書評リンク にもある通り、この清水さんの本は、馬場氏の(今の東大教授としての地位へとつながる博士論文を母体とした)デビュー作『上座部仏教の思想形成――ブッダからブッダゴーサへ』の内容を完全否定するものである。 主に、清水さんの本の 3 部構成のうちの第 1 部がそれ(馬場説の完全否定劇)に該当する。 総括 第 1 部では、ブッダゴーサやダンマパーラに帰せられる著作群を主な材料として、小部の成立を軸とした三蔵の形成過程を考察した。以上をまとめれば、仏滅後からブッダゴーサを経てダンマパーラに至るまでに、三蔵は次のような段階を経て成立したと推定される。 仏滅後に残された様々な教えは、仏弟子たちによって、その内容に応じて律蔵と『長部』『中部』『相応部』『増支部』という経蔵四部とに収められ、僧団内にいる長部誦者や持律師と呼ばれる専門家たちがこれを伝承していった。この律蔵・四部から漏れた様々な種類の経典(主に偈頌経典)は、他の四部に比してより在家的・通俗的な蔵外文献として伝承され、『ジャータカ』と『ダンマパダ』の例外を除いて専門の誦者や伝持者は僧団内に存在しなかった。 これら四部の外側に累積していった蔵外文献(主に偈頌経典)は、 後に経蔵の第五部「小部」として三蔵内に組み込まれるが、経蔵が五部に再編成された後も小部の構成は固定的ではなく流動的であった。そのため、小部のうちには、成立が早いとされる『スッタニパータ』『ダンマパダ』といった韻文経典のみならず、成立が遅いと考えられ る『義釈』『無礙解道』といった教理書も収められている。このような編纂事情ゆえに、上座部における小部の伝持形態は、「小部」というーまとまりのセットで伝持するという意識が希薄であり、各々の文献単位で別個に伝持されていった。 また、小部の成立だけでなく、阿毘達磨蔵七書と律蔵附随の成立も遅いことが考えられるが、これら小部・阿毘達磨蔵・律蔵附随の成立の具体的な先後関係は不明であ
続きを読む

OpenWrt での Wi-Fi 設定

イメージ
OpenWrt をインストールしたら、まず最初に手を付ける作業が Wi-Fi(Network > Wireless で該当デバイスの設定を Edit)。初期状態では Wi-Fi が無効化されているため、Wi-Fi を有効化しておかないと、有線 LAN で直結していないノート PC(Macbook)から作業できない、というのが個人的には決定的な理由。 設定自体は特に難しくはなく、大まかには 2.4G 帯と 5G 帯それぞれについて、暗号化キーを決め、SSID や周波数チャンネル、出力強度をカスタムしたりする程度。最後に Enable して Save & Apply する流れとなる。 以下では、最初に、作業用の古いノート PC(Linux)から有線 LAN でルーターに接続して設定を行い、5G 帯をアクセスポイント・モードで有効化し、Wi-Fi 経由で MacBook が接続できるようにしてから、(Linux マシンと LAN ケーブルを片付けて)残りの作業を行っている。 5G 帯のアクセスポイント設定 WZR-HP-AG300H の場合では radio1 が 5G 帯(802.11an)となっているので、この Wireless 設定を Edit する。 Device 設定(Advanced Settings) 上半分の Device 設定についてはまず Advanced Settings タブの国設定で「JP - Japan」を選ぶ。 Interface 設定(基本設定) 下半分の Interface 設定については上のスクリーンショットのように Mode を「Access Point」、ESSID を適当に設定する(ここでは「OpenWrt」としている)。 Device 設定(基本設定) 国設定を選んだので、基本設定のタブに戻る(下のスクリーンショット)。 チャンネルは auto にすると、PC(受信端末)側のアクセス可能範囲外のチャンネルが選ばれてしまう場合があるので、確実に接続できるであろうチャンネルを手動で選んでおいた方が無難だろう。出力パワーは最強にしておいた。帯域幅はデフォルトの 20 MHz 幅のまま(40 MHz にすると倍化するが、その分、他の Wi-Fi との干渉もし易くなるため)。
続きを読む

シークエンスパパともの先見の明

イメージ
先日、シンクロニシティ的に、故・シークエンスパパともが 2 年前に行った未解決事件に対する霊視が、ギャル霊媒師・飯塚唯が最近行った霊視と、互いに補完し合うような内容であるということを ブログ に 認 したた めたばかりである。 ところで、さらにもう一つの、パパともの霊能力に関する(僕にとって)シンクロニシティ的なタイミングで到来した情報が発生した。 シークエンスはやとものチャンネルの動画などを観るようになったのがきっかけで、YouTube のお勧めに、オカルト系のチャンネルが多数表示されるようになってきたのだが、その一つに「都市ボーイズ」という都市伝説を中心としたオカルト系チャンネルがあった。こういうものを観だしたらキリがないので、基本はスルーしていたのだが、その都市ボーイズ(放送作家の岸本誠と早瀬康広のコンビ)がチャンネルにはやともがゲストで出演して生霊鑑定を行っていたのを観たので、そこから芋蔓式に都市ボーイズのチャンネルの動画も何本か観たりするようになった。 都市ボーイズはやせの黒魔術 当初は、はやせ(早瀬康広)に「黒い呪いのようなものがまとわりついている」という、はやともの生霊鑑定の結果を深掘りすべく、関連する動画を追った。はやせは、呪物コレクターであり、その上、最近(約 10 ヶ月前に公開された動画)、「呪いを飼い馴らして、黒魔術的な力を自分のものにする」という修行というか通過儀礼を行っていたというのである。 儀式を無事に終えて台湾系の呪術師に合格が認められたはやせは、「数年以内に自動的に能力が開花し、自分で自覚するだろう」と言われたという。 都市ボーイズはやせを怒らせた霊能者 そのようなはやせを擁する都市ボーイズだが、先日、「【テレビの闇】インチキ霊能力者にテレビ出演邪魔されました!【インチキ霊能者】」という刺激的なタイトルの動画が、たまたま僕が暇だった時、公開されたばかりのタイミングで見つけてしまったので、早速その動画を観た。 約 1 年前、とある霊能者の霊的な〝脅迫〟によって、はやせはテレビ出演を直前で降板させられてしまったそうである。 僕は、テレビは観なくなって久しい人間で、それこそ霊能者というとシークエンスはやともの言う「心霊第 3 世代」の宜保愛子で止まっていて、江原啓之ですら雑誌の見出しで名前を
続きを読む