NEC WAシリーズに関する情報が全然なかったので備忘録です。
きっかけ
今乗っているトヨタ カローラツーリングには月1,100円で車内WiFiが無制限(※)に使用できる素敵プランがあります。
https://toyota.jp/tconnectservice/service/wifi_incar.html
今の車は一般的なカーナビがついておらず、所謂「通信ナビ」が搭載されており、
トヨタの場合はauのネットワークを使用しナビゲーションシステムが使用できます。
その時に使用される回線をユーザーWiFiとしても使えるというものです。
通信ナビゲーションに使用されるということから、
通信用アンテナが強いのかスマートフォンに比べるとかなり安定的に通信できる印象です。
更にこのWiFiは一度有効にしておけばエンジン始動時に
勝手に有効になってくれるという地味に嬉しい仕様です。
そのため意識することなく、モバイルデータ通信ではなく無制限WiFiに繋がります。
カーナビがゆえの機能不足さ
これがその設定画面なんですが、機能がめちゃくちゃ少ないです
セキュリティキーは自分の好きなものが選べるのですが、SSIDは固定です。
また、ちょっとでも2.4GHzが混んでると12ch,13chを使いたがる挙動があります。
日本国内では2.4GHz帯は1ch~13chまで使用可能です。
一方アメリカなどでは12ch,13chの使用に制限がかけられています
となると、繋がらない機器が一部あるわけです。
具体例だと無線LAN内蔵SDカードを使用するCOMTEC系のレーダー探知機などです…
一応トヨタに改善要望出したけど期待薄
ということで、12ch,13chの2.4GHzWiFiを受信して他のchでWiFi出す環境を作成します。
ついでに自宅とEtherIP/IPsec組んで自宅内LANに入れるようにします。
さらに別のSSIDで実家にも入れるようにします。(次回書く)
簡易構成図
雑に書くとこんな感じになります。
ノートPCやスマートフォンそれぞれでVPNを張らなくてよくなるという形です。
SoftEther設定
SoftEther側の設定は他にもいろんなサイトで解説がされているので参考にしてください。
NEC IXでのEtherIP構築と同じ設定で大丈夫です。
以下、参考サイト
・NEC ルータ等からの EtherIP を用いた VPN 接続方法
・SoftEther VPNとIX2105でポン付けVPN
NEC WA2612-APの設定
「NEC IXと同じメーカー、シリーズだし同じっしょ」と思ってましたがそこそこ違います
むしろ微妙に似ているからなおさらたちが悪い。
設定がおかしい箇所がある可能性があります。
使用は自己責任で。もし指摘事項あればコメント下さい・・・
config
!
hostname <ホスト名>
!
username <ユーザー名> password <Password> administrator
!
http-username <ユーザー名> password <Password> administrator
!
!
!
bridge ieee enable
!
ip dhcp-relay enable
!
device usb0
power-down led-off
!
device module0
power-down led-off
!
!
wireless 2g channel bgn single <1ch-11ch>
wireless 5g channel anac dual auto-w56
!
interface GigaEthernet0.0
ip address dhcp
ipsec map IPsec-Profile
no shutdown
!
interface GigaEthernet1.0
ip address dhcp
no shutdown
bridge ieee 1
!
interface WirelessEthernet0.0
ssid <吹きたいSSID>
authentication type psk
encryption wpa-key <WiFi パスコード>
encryption mode wpa-wpa2 aes
no ip address
bridge ieee 1
no shutdown
!
!
interface EtherIP0
bridge ieee 1
bridge ip tcp adjust-mss 1382
ether-ip peer <接続先アドレス>
ether-ip source GigaEthernet0.0
no shutdown
!
!
ip route default dhcp GigaEthernet0.0
!
network-monitor keep-ping
event ip unreach-host <接続先ネットワーク上にいる疎通可能なIP> source GigabitEthernet1.0
!
monitor-group keep-ping enable
!
no mobile expected-attachment usb0 recovery-enable
!
!
!
ike proposal IKE-Prop
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 3600
dh-group 2048-bit
!
ike policy IKE-Policy
mode aggressive
local-id fqdn <ISAKMP Phase1 IDを入力>
dpd-keepalive enable ph1 20 3
proposal IKE-Prop
pre-shared-key <事前共有鍵を入力>
nat-traversal enable keepalive 10
!
!
ipsec proposal IPsec-Prop
protocol esp enc-algo aes256-cbc auth-algo hmac-sha1-96
lifetime 3600
!
ipsec policy IPsec-Policy
remote-id <SoftEther鯖のローカルIP>/32
rekey enable always
proposal IPsec-Prop
!
ipsec profile IPsec-Profile
mode transport
ipsec policy IPsec-Policy
ike policy IKE-Policy
source GigaEthernet0.0
peer <接続先アドレス>
!
!
ip name-server 1.1.1.1
!
ssh-server ip enable
ssh-server ip permit 192.168.XX.0/24 ←絞ったほうがいい
!
sntp-client enable
sntp-client startup-delay 30
ntp-server server ntp.nict.jp forced-ipv4
!
!
!
https-server ip enable
https-server ip redirect enable
!
http-server ip permit 192.168.XX.0/24 ←絞ったほうがいい
!
led vpn ipsec
!
以下、各箇所の解説
IKE設定
ike proposal IKE-Prop
encryption-algorithm aes256-cbc
authentication-algorithm hmac-sha2-256
lifetime 3600
dh-group 2048-bit
!
ike policy IKE-Policy
mode aggressive
local-id fqdn <ISAKMP Phase1 ID>
dpd-keepalive enable ph1 20 3
proposal IKE-Prop
pre-shared-key <事前共有鍵を入力>
nat-traversal enable keepalive 10
ここでいれる項目は事前共有鍵とISAKMP Phase1 IDです。
暗号化強度が変更できます。一応SoftEtherがサポートしてる一番上にしてます。
負荷が上がるようならここを変更します。
IPsec設定
ipsec proposal IPsec-Prop
protocol esp enc-algo aes256-cbc auth-algo hmac-sha1-96
lifetime 3600
!
ipsec policy IPsec-Policy
remote-id <SoftEther鯖のローカルIP>/32
rekey enable always
proposal IPsec-Prop
!
ipsec profile IPsec-Profile
mode transport
ipsec policy IPsec-Policy
ike policy IKE-Policy
source GigaEthernet0.0
peer <接続先アドレス>
!
ここも暗号化強度を変更できます。
SoftEtherはIKEとIPsecとでSHA2が使えたり使えなかったりのようですが
この辺は勉強不足でとりあえず使える一番上にしてます。
ハマったポイントとしてはremote-idを入力しないと通信できない点です。
NEC WAのコマンドリファレンスやサンプル見ても
transportモード解説があまりないので…
EtherIPの設定
bridge ieee enable
!
interface EtherIP0
bridge ieee 1
bridge ip tcp adjust-mss 1382
ether-ip peer <接続先アドレス>
ether-ip source GigaEthernet0.0
no shutdown
!
ここにも接続先アドレスを入れる必要があるようです。
ちなみにNEC WAには「IPsec」インターフェイスがありますが、今回は使いません。
ブリッジ機能も使うのでここで入れておきます。
その他VPN関連
interface GigaEthernet0.0
ip address dhcp
ipsec map <IPsecプロファイル名>
no shutdown
!
network-monitor keep-ping
event ip unreach-host <接続先ネットワーク上にいる疎通可能なIP> source GigabitEthernet1.0
!
monitor-group keep-ping enable
!
WANをつなぐInterfaceにプロファイルをマッピングします。
あと、なくても大丈夫な気がしますが、NEC IXでもあったので手動keepaliveを設定しておきます。
インターフェイス設定
device usb0
power-down led-off
!
device module0
power-down led-off
!
!
wireless 2g channel bgn single <1ch-11ch>
wireless 5g channel anac dual auto-w56
!
!
interface WirelessEthernet0.0
ssid <吹きたいSSID>
authentication type psk
encryption wpa-key
encryption mode wpa-wpa2 aes
no ip address
bridge ieee 1
no shutdown
!
interface GigaEthernet1.0
ip address dhcp
no shutdown
bridge ieee 1
モバイル通信系は今回は使わないのでshutdownしておきます。(そこそこ熱持つ)
Wirelessは2.4GHz帯は問題ないですが、5GHzは原則屋外利用禁止です。
ただ、W56帯(DFS有)でなら使用可能です。
また最近の法改正でW52帯(DFS無)が車内に限り使用可能になったようですが、
本機器には「W52/W53は屋内利用専用です」と記載があるのでW56だけで使ったほうがいいです。
(ただ車載するとDFSが検知しまくるので2.4GHzだけにしとくほうが安定します…)
その他設定はお好みで。
その他
ip dhcp-relay enable
!
ip route default dhcp GigaEthernet0.0
ip name-server 1.1.1.1
led vpn ipsec
!
DHCPリレーは必須でした。
ネームサーバは接続先をIPアドレス指定にしたら不要かもです。
完了!
ひたすら試行錯誤しましたがこのルータめちゃくちゃ遊べますね。
WWANもWLANもあるしVPNも張れるし内部ブリッジできるから自由度も高い
問題は、この設定で色々大丈夫なのかってところが…
あくまで自己責任ということで
