ども。こんばんは。
我が家の無線LAN環境は、Cisco WAP150とArubaの303hを使っています。
【参考】
・Cisco関連
無線強化プロジェクト2nd Season – 6 – WAP150新しいファームウェアキタ━━━━(゚∀゚)━━━━!!
無線強化プロジェクト – 8 –
・Aruba
【雑記】書きたかったこと。出来事。買ったものとか(2018年8月分)
で、Aruba はAmazonデバイスの5Ghz帯利用と予備で残して、WAP150をリプレイスします。
リプレイスの理由は特にないですが、2022年のAmazonのブラックフライデーでやすかったので…
タイミングが良かったので¥25,925で購入できました!
ブラックフライデー前は¥36,000くらいだったと思います。
正直本物のMerakiじゃなくて「Go」なので、WPAエンタープライズが使えないのがちょっと微妙ですが、まぁWAPシリーズはもう後継でない気もするし、Goはサブスクリプションも要らなくなったし、WiFi6使いたいしとかそんな感じです。
では、やっていきます。
■開封
箱はシンプル。
開けたらすぐ出てきた。
下の段にはアプリのインストール方法とか書いた紙と付属品。
付属品の箱。
付属品はこんな感じで、LANケーブル、ACアダプタと、各種ネジ。
おー、白い。
そして、右がWAP150ですが、そんな黄ばむ!?っていうくらい黄ばんでますね。
設定していきます。
■初期構築
設定はAndroid/iPhoneアプリまたはmerakiのWebから行います。
基本的にローカルには画面とかないです。(後述しますがステータス表示用のUIはありますが設定変更はIPアドレスとVLANくらい?SSIDとかは全く設定できないみたいです。)
とりあえず本体をDHCPが有効なネットワークにつなぎます。
初期設定でVLANなしでDHCPになっています。
web.meraki-go.comにアカウントを作ってログインします。
※言語は英語がおすすめです。日本語だと一部のメニューが表示(リンクをクリックしても飛べない)できない不具合がありました。
Add Hardware的なところからシリアル番号と名前(自分で決める)を入力して追加します。
おー、見えるようになった。
あとはSSIDの設定とかをしていきます。
以下は我が家特有のやつです。
固定IPアドレスとVLANタギングを有効にする。
※うちではSSIDごとに若干VLANを分けているので、GR12本体をまずTrunk接続にできるようにします。
※当然対抗側はTrunkです。
あとは、適当にSSIDの設定をします。SSIDは4つしか登録できませんでした。
冒頭にも書きましたが、802.1xは未対応です。
そもそもやる意味もあんまりないですがMACアドレスフィルタもないです。
SYSLOGとかSNMPも対応してないようです…
SSID側はほとんど設定することなくて、周波数帯、パスワード、WPAのバージョン、VLANタギングの有効化とVLAN ID、ゲスト用かどうか(ゲスト用にすると、Merakiが下にセグメント作ってNATさせることもできるみたい)
あとは、ローカルの管理画面(ローカルステータスページ)のパスワードを変えました。デフォルトはユーザ名がシリアル番号でパスワードなしのようです。
ローカルステータスページは、以下の3種類のURLでアクセスできました。
※FQDNで接続する場合は、そのAP自身につないでないとだめです。設定画面見てると、「xxxx.dynamic-m.com」っていうDDNSっぽいのが払い出されてましたが、なんか待っても名前解決できるようになる雰囲気はない…
http://my.meraki.com/
http://ap.meraki.com/
http://IPアドレス
そのくらいかなぁ。あとはアカウントにMFAを有効化したくらい。
ファームウェアのアップデート時間もちょっと変えたかなー。
一応Webで設定したあと、Androidアプリも入れましたが、ほぼWebと同じものが表示されてただけでした。
まぁ端末の様子とかアプリケーションの利用状況とかいろいろ見えるから便利かもね。
※以下Webの画面ですがアプリでも見れます。
デバイス名はNetBIOS名とBonjour?とか色々駆使して表示してくれますが、自分で上書きすることもできます。どうしてもMACアドレスしか出なかった場合とか、変なDNS名で出ちゃったりした場合はわかり易い名前をつけることもできます。
全体の状況とか
アプリごとの使用状況とか(全体や端末ごとにも見れます)
ちょっと企業では嬉しいのが、接続に失敗した理由を出してくれます。
これ便利で、そもそもSSIDにつながらない理由ももちろん、IPアドレスがうまく設定できなかったとか、DNSの問題とか出してくれれます。ちょっと助かる。
まぁ構築はそんなところですかねぇ。
あとは、ファームウェアのバージョンがずっと「Not running configured version」でしたが、今見たらちゃんと表示されていました。
■トラブル発生!YouTubeやNetflixにつながらない
通信速度もWAP150より100Mbpsくらい早くなって(調子よいと500Mbpsくらい。もともとは250Mbpsくらい)ご満悦だったんですが、トラブル発生しました。
なんとYouTubeが見れません。あと、fast.com(Netflixが提供しているスピードテストサイト)で速度が測れません。
それからdアニメストアの動画再生ができません。
こんな切ないYouTubeの画面は初めて見た(T_T)
これめちゃくちゃ悩んでパケットキャプチャを見たところ、なんとGR12から送信されるパケットのうち、YouTubeとNetflix(ほかは未確認だが多分動画ストリーミング系?)などの一部IPアドレス宛のパケットにQoS(DSCPマーキング)ががかかってました。
以下NetflixのなんかのIPアドレス宛の通信のキャプチャです。
192.168.133.1はゲートウェイのFortiGateの送信元NATのIPアドレスで、この手前にMeraki Goにつながった端末と、有線の端末がいます。
・Meraki Go以外からの通信
・ Meraki Goを経由した通信
おわかりいただけるだろうか。Meraki Goを経由するとAF21が付与されているのである。
で、なんかよくわからんのですが、DSCPがついてると通信が帰ってこないんですよね。
ってことでFortiGateでその場しのぎで、ポリシーに以下を足しました。
config firewall policy
edit ポリシーID
set diffserv-forward enable
set diffservcode-forward 000000
end通ったー!
うーん、やっぱりこれが問題だなぁ。ってことで、この時点では、NECプラットフォームズのAterm WG1200HS3(PA-WG1200HS3)が悪いんじゃないか?と考えました。
このルータは、OCNバーチャルコネクトにつなぐためにだけに存在しているルータです。導入の経緯は以下参照。
まぁ、こいつがDSCPマーキングされたパケット処理できないんじゃないかな?とかそんなことを考えていましたので、次章に続きます。
参考:OCNバーチャルコネクトでIPoE + IPv4 over IPv6接続 – 2 –
■IPoE接続用ルータをUNIVERGE IX2106にリプレイス
ここまでで、Meraki Goのリプレイスは完了、しかし、YouTubeとNetflix宛の通信にDSCPマーキングされてしまい、なぜか戻りパケットがこない、という状況になりました。
とりあえずFortiGateでDSCPを0に上書きして転送することで対処してますが、それもいまいち。
よろしい、以前購入したIX2106ならきっとうまくいくだろう、ということで随分前に購入したIX2106を構築しました。
参考:【雑記】書きたかったこと。出来事。買ったものとか(2021年7月、8月)
さて、久々に構築するのでファームウェアをアップデートしました。
※ファームウェアの入手方法は↑の参考記事を御覧ください。
で、OCNバーチャルコネクトの接続設定は、以下を参考にしました。
OCNバーチャルコネクト(動的IP)設定ガイド : UNIVERGE IXシリーズ | NEC
「設定例3 OCNバーチャルコネクト(動的IP)の設定 – IPv6 RA」を参考にしました。
うちはIPv6はクライアントには設定せず、IPv4をIPoEの中を流すだけです。
ひかり電話がありますが、この注意書きを見落としてました…
なお、ひかり電話契約有りの場合でも、ひかり電話対応機器(ひかり電話ルータ/ホームゲートウェイなど)のLANポートにIXルータを接続する場合には、設定例1のIPv6 RAでの設定をご利用ください。
しかも一回Webで「かんたん設定」をしてしまっており中途半端なConfigになってしまってます。整理はしましたが、設定例1の「IPv6パケットフィルタ」が残ってますね。。
これは、IPv6をクライアントにも払い出すような使い方をしたとき、クライアントへ外部からIPv6通信が通らないようにするACLだと思います。
今回私はトンネル流すだけなのでIPv6パケットフィルタはいらないはず、、、、、ですが、まぁ入れておきます。
これとは別でWebUIとSSHにはIPv4内部アドレスからのみつながるACLを適用済みです。
んで、まぁ正直コマンドもCiscoライクだし設定は難しくなくて、リプレイスは完了したんですが、
結局YouTubeみれんやかないかい!
はぁ。。。どうやらAtermのせいではなかったみたい。まぁおかげでずっとやろうと思ってたリプレイスが終わりましたが、、、
で、納得行かないけど今こうなってます。(FortiGateは設定をもとに戻してます)
(略)
!
class-map match-all any
match any normal
!
policy-map no-qos-policy
class any
set ip dscp 0
class class-local
class class-default
!
(略)
!このインターフェースがFortiGateとつながってるいわゆるLAN側
interface GigaEthernet1.0
ip address x.x.x.x/24
service-policy enable
service-policy input no-qos-policy
no shutdown
!なんか、うーん、なんか違うくね…そうじゃなくね…と思いながらまぁ無事YouTubeも見れるようになったし、fast.comで速度も履かれるようになったし。まぁいいか。
てかこれ、OCNバーチャルコネクトがDSCPマーキングだめってことなのかなぁ?
一応MerakiのサポートにはDSCPマーキングをやめれないか問い合わせてますが、回答がありません。
企業向けならこういう動画配信サイトとかにQoSかけるのは納得行くけど、せめてOffにさせてほしい…
まぁなんだかんだありましたが、リプレースは完了。満足しています。
ではでは。またの機会に。
