enひかりという光コラボレーションというサービスにて、 v6プラス (MAP-E) および固定IP を契約しております。 今回は YAMAHA の RTX830 や NVR510 のリプレースとして Debian bookworm を用いて PC ルータを組むことにしたので、その内容をまとめます。 構築が一段落してから思い出しながら記載しているので順番がおかしい点や、ファイアウォール設定などに不備が有ると思います。 まだ改良途中であることをご容赦ください。

v6プラス(MAP-E) + 固定IP + ひかり電話 の構成です。

記事の末尾に参考にさせていただいた記事をリンクしていますので、そちらもご確認いただければと思います。

なぜ Linux ルータを構築するのか

YAMAHA のルータからリプレースする一番の目的は、ゲートウェイ自身で WireGuard などのグローバル向けサービスを終端することです。 また、 vnStat などによるトラフィックモニタリングを実施したり、機器ごとのパケットフィルタリング実装を学ばなくて済むように nftables を用いたりすることも目的です。 LAN 側は5個ほどの VLAN に分割し、 IPv6 もサブネットを分割するために「ひかり電話」オプション(後述します)を契約します。

今回は余っているデスクトップコンピュータを用いて、我が家のメインスイッチの 40GbE ポートと QSFP+ DAC 1本で接続し、 Trunk VLAN で全ての VLAN を通します。

自宅の無線LANにおけるセキュリティ向上の為、WPA2 Enterprise EAP-TLSを導入したので、構築記録として残しておきます。

個人宅における無線LANのニーズは高まっており、スマートフォンはもちろんの事、電子書籍リーダーやスマートスピーカーなど、私の自宅でも数多くの無線LANクライアントが存在します。これまではWPA2-PSK(AES)を使っており、つまりPre-Shared Keyを設定していたわけですが、ネットワーク構成の見直しと同時にEAP-TLSとする事にしました。

なお、EAP-TLSに対応していないデバイスも有るため、これらはセキュリティが低いとして、別ネットワークに収容してWPA2-PSKを利用できるSSIDを吹く事にしました。 合わせてメインネットワークに接続できる端末のセキュリティ要件を定義し、これを満たさないデバイスも別ネットワークに収容し、メインネットワークとはファイアウォールで遮断しました。例えば、私個人以外にも管理権限の有る職場のテレワーク端末や、SecureBoot及びストレージ暗号化を実施していないクライアント端末などです。

今回は、Raspberry Pi 3を利用し、Debian GNU/Linux bullseye及び、FreeRAIUSを用いました。