- 自宅では4名がインターネットを利用しているネットワークを分割したい。
- 外部からOpenVPN利用の専用のネットワーク作成する。
NASやRDP専用のネットワークを作成しています。 - ブロードキャストのネットワークを分離する。
- 有線ルータを利用する。
全員、デスクトプパソコンは、全て有線を利用しています。
ノートやモバイル機器やテレビなどは、Wifiです。 - 1万円前後で購入できる。
「TP-Link ER605」がお手頃価格でしたので購入しました。
いろいろ探してみると、「TP-Link ER605」が利用できそうなので購入してみました。
※ 有名メーカーの中古ルータも検討しましたが、予算の関係で残念しました。
※ 今後、他のルーターに変更するかも知れません。
商品については「TP-Link」の公式ページを確認して下さい。
お手頃価格ですが高機能です。
ネットワーク構成を考えます。
- WAN側は冗長化できます。(ヤモリは冗長していません)
※ 冗長化した場合は、ポート1番及び、2.3番は、WAN/LANどちらにも設定できます。
※ ヤモリはひかりとWifiルータの冗長も考えたのですが、Wifiルータは大容量通信の契約はしていないので利用しません。 - ルーター(ER605)のLAN側に2つのネットワークを作成することにしました。
※ LANポートを4つのネットワークに分けたいのですが、各ネットワーク1ポートです。
4台Wifiルータがあれば良いのですが、2台しかありません。別途、WifiルータやL2スイッチ等が別途必要になります。
※ Wifiルータが2つあるので、2つのネットワークに分けることにしました。
有線LAN機器もいくつかありますので、今回は2つのネットワーク作成としました。 - ルータの構成の例です。
WAN(ポート1) 192.168.1.0/24 VLAN1 ホームゲートウエイ側です。
LAN(ポート2.3)192.168.2.0/24 VLAN2 ネットワーク1
LAN(ポート4.5)192.168.3.0/24 VLAN3 ネットワーク2
※ /24は、ネットマスク 255.255.255.0 の事です。
※ VLAN設定は、LANのPort割当の設定で必要だからですかね?
LAN側のPortを全て違うネットワークだと不要なのかな?
と思いつつ、とりあえず、VLAN設定は行いました。 - DHCPサーバ設定の有無
ネットワーク1と2にDHCPサーバを設定します。
※ 固定アドレスのみ、または、他にDHCPサーバがあるなら不要です。 - ネットワーク間のアクセス制限
ネットワーク1,2間は必要に応じてアクセス制限をかけれます。
ネットワーク1,2からは、WAN側のネットワークへは、アクセスできます。
※ ひかりルータとER605のネットワークアクセスには制限をかけていません。 - WAN側ポート1、LAN側ポート2.3、LAN側ポート3,4に固定IPアドレスを設定します。
設定例(お使いの環境で変更してください)
WANポート1:192.168.1.1/24 ホームゲートウエイとの異なるIPを設定してください。
ネットワーク1(ポート2,3):192.168.2.1/24
ネットワーク2(ポート4,5):192.168.3.1/24
ルーター(ER605)へログインします。
- ルーター(ER605)のLANポート5にUTPケーブルを接続します。
- ルーター(ER605)とパソコンをUTPで直接接続します。パソコンのIP:192.168.0.2/24
※ ルーター(ER605)の初期IP:192.168.0.1/24
※ 既存のネットワークに接続して設定することも可能ですが、IPアドレスのレプリケートに注意が必要です。 - ルーター(ER605)の電源をいれます。
※ 起動まで4分位かかります。(長く感じますが待ちましょう) - パソコンのブラウザーから、「192.168.0.1」でアクセスします。
- ログインIDとパスワードを入力します。
- ログイン完了です。
WAN側の設定
- サイドメニュー(左側)から「Network」を選択します。
- 「Network」メニューの中の「・WAN」を選択します。
- 「・WAN」画面の「WAN mode」タブを選択します。
- 「WAN mode:」でWANしたいポートを指定します。
□ USB Modem ☑WAN □ WAN/LAN1 □ WAN/LAN2
例: 「☑ WAN」にチェックを入れ、「Save」ボタンを押します。 - 「WAN」タブを選択します。
Connection Type: Static IP
IP Address:192.168.1.10
SubNet Mask:255.255.255.0
Default Gateway:192.168.1.1
※ ホームゲートウエイのIPアドレスです。
Upstream Bandwidth:1000000
※変更しません。
Downstream Bandwidth:1000000
※変更しません
MTU:1500
※変更しません
Primary DNS:192.168.1.1
※ ホームゲートウエイのIPアドレスです。
Secondary DNS:
※ 設定しません。
※ DNSはGoogleなどの提供するDNSも可能です。 - 「Save」ボタンをクリックします。
- 完了です。
LAN側の設定
- 「Network」メニューの中の「・LAN」を選択します。
- 「・LAN」画面の「LAN」タブを選択します。
- 画面下側の「Network List」の右側にある「+ Add」ボタンを押します。
- Network Listへ追加の画面が開きます。
Name:Network1
IP Address:192.168.2.1
Subnet Mask:255.255.255.0
Mode:● Normal 〇 Bridge
※ ● Normalを選択
vlan:2
DHCP設定例
DHCP Mode:● DHCP Server 〇 DHCP Relay
※ ● DHCP Derverを選択
Status: ☑ Enable
Starting IP Address:192.168.2.2
Ending IP Address:192.168.2.101
※ 100個の例
Leage Time:120
※ 変更しません。
Default GateWay:192.168.1.10
※ ルーター(ER605)のWAN側のIPアドレスを設定します。
※ 不要かも?
Default Domain:
※ 設定しません。
Primary DNS:192.168.1.1
※ ホームゲートウエイのIPアドレス
Secondary DNS:
※ 設定しません。
※ DNSはGoogleなどの提供するDNSも可能です。
「OK」ボタンで保存します。 - Network2も同様に設定します。
VLANの設定
- 「Network」メニューの中の「・VLAN」を選択します。
- 「・VLAN」画面の「VLAN」タブを選択します。
「VLAN List」の右側にある「+ Add」ボタンを押します。
「VLAN List」へ追加の画面が開きます。
※ ネットワーク1の設定例
Name:VLAN2
Ports:□ 1 ☑ 2 ☑ 3 □ 4 □ 5
☑ 2 ☑ 3 は、「UNTAG」を選択します。
Description:説明を入れます。
「Save」ボタンで保存します。 - Network2も同様に設定します。
※ Netowork2は、☑ 4 ☑ 5 にチェックを入れます。 - 「・VLAN」画面の「Ports」タブを選択します。
「Port1」に「PVID」「1」を割り当てます。
「Port2」に「PVID」「2」を割り当てます。
「Port3」に「PVID」「2」を割り当てます。
「Port4」に「PVID」「3」を割り当てます。
「Port5」に「PVID」「3」を割り当てます。
「Save」ボタンで保存します。 - VLANの設定は完了です。
Synology NAS(DS223j)をネットワーク1に接続します。
- VPNサーバはSynology NAS(DS223j)で運用しています。
ネットワーク1にVPNで使うUDPのポートを開く必要があります。 - Tp-link(ER605)の左側メニューの「Transmission」を開きます。
- 「Vertual Servers」タブを開きます。
設定例
Name:VLAN
※ 名前を付けます。
Intarface:WAN
※ WANを選択します。
External Port:1194
※ VPNで利用しているポート番号を入力します。
Internal port:1194
※ VPNで利用しているポート番号を入力します。
Internal Server IP:192.168.2.10
※ Synology NAS(DS223j)のIPアドレスを入力します。
Protocol:UDP
※ UDPを選択します。
Status:☑ Enable
※ Enableにチェックを付けます。
「OK」ボタンをクリックします。 - ホームゲートウエイ(RX-600MI)の設定を変更します。
こちらの記事の「ホームゲートウェイ(RX-600MI)の設定」を確認して下さい。
変更箇所は、ER605が途中に入りますので、宛先IPアドレスを変更して下さい。
SynologyNAS(DS223j)ではなく、ER605のWAN側のアドレスになります。
例:192.168.1.10 (ER605)で設定したアドレスとなります。 - 設定完了です。
ネットワーク間のアクセス制限
今回は、行っておりません。設定は簡単です。
- ネットワークは、「WAN側」、「ネットワーク1」、「ネットワーク2」が作成されています。
- Synology NAS(DS223j)のVPNへもモバイル端末から問題なく接続できています。
- 「ネットワーク1」、「ネットワーク2」とも、DHCPサーバからの割り当ては正常です。
- 「ネットワーク1」、「ネットワーク2」とも、インターネットへのアクセスは正常です。
ホームゲートウエイ(RX-600MI)にER605のLAN側、「ネットワーク1」、「ネットワーク2」へのルートを設定が漏れていることが、VPNの設定を変更する時に失念していたことを気づきました。しかし、なぜ、ホームゲートウエイが、「ネットワーク1」、「ネットワーク2」を知っているのでしょうか?
- ホームゲートウエイにVPN以外に設定はしていません。
- ルータ(ER605)に「RIP」「OSPF」のルーティングプロトコルが動いているのかと確認したが、無効です。
ホームゲートウエイ(RX-600MI)は設定は無いとはず。無いことも確認した。 - 「ネットワーク1」のパソコンで「CMD」で「tracert 192.168.1.1」も正常ルートです。2も同様です。
- NATなどの設定とかがデフォルトで動いているのですかね?
※ IP変換されていないか確認方法が見つけられない? - WANポートで設定すると「IP変換される」からですかね?
AIに聞いてもやネット検索しても解決策が見当たりません。
試しにWifiルータで2重NATで「ネットワーク3」を作成し配下に「ネットワーク1」の機器を移動しました。
VPNもでき、同じ事ができます。
(こちらもホームゲートウエイ(RX-600MI)に「ネットワーク3」のルーティングは不要です)
Wifiルータで「IP変換」が有効になっているからでしょうね。
Wifiルータ配下でNASは運用しています。
みなさんは、「ER605」の設定をどうされているのでしょうか?
ルータの設定は別途調べて判明したら記事を更新します。