自宅のネットワークをルーターで分割する。

自宅のセグメントを分割するのにお手頃なルーターを探す。

以下の条件を考慮してネットワークの分割を考えルーターを探しました。

  • 自宅では4名がインターネットを利用しているネットワークを分割したい。
  • 外部からOpenVPN利用の専用のネットワーク作成する。
    NASやRDP専用のネットワークを作成しています。
  • ブロードキャストのネットワークを分離する。
  • 有線ルータを利用する。
    全員、デスクトプパソコンは、全て有線を利用しています。
    ノートやモバイル機器やテレビなどは、Wifiです。
  • 1万円前後で購入できる。
    TP-Link ER605」がお手頃価格でしたので購入しました。

いろいろ探してみると、「TP-Link ER605」が利用できそうなので購入してみました。
※ 有名メーカーの中古ルータも検討しましたが、予算の関係で残念しました。
※ 今後、他のルーターに変更するかも知れません。

TP-Link ER605を設定します。

お試し構成を構築しました。

商品については「TP-Link」の公式ページを確認して下さい。
お手頃価格ですが高機能です。

ネットワーク構成を考えます。
  • WAN側は冗長化できます。(ヤモリは冗長していません)
    ※ 冗長化した場合は、ポート1番及び、2.3番は、WAN/LANどちらにも設定できます。
    ※ ヤモリはひかりとWifiルータの冗長も考えたのですが、Wifiルータは大容量通信の契約はしていないので利用しません。
  • ルーター(ER605)のLAN側に2つのネットワークを作成することにしました。
    ※ LANポートを4つのネットワークに分けたいのですが、各ネットワーク1ポートです。
     4台Wifiルータがあれば良いのですが、2台しかありません。別途、WifiルータやL2スイッチ等が別途必要になります。
    ※ Wifiルータが2つあるので、2つのネットワークに分けることにしました。
      有線LAN機器もいくつかありますので、今回は2つのネットワーク作成としました。
  • ルータの構成の例です。
    WAN(ポート1) 192.168.1.0/24 VLAN1 ホームゲートウエイ側です。
    LAN(ポート2.3)192.168.2.0/24 VLAN2 ネットワーク1
    LAN(ポート4.5)192.168.3.0/24 VLAN3 ネットワーク2
    ※ /24は、ネットマスク 255.255.255.0 の事です。
    ※ VLAN設定は、LANのPort割当の設定で必要だからですかね?
      LAN側のPortを全て違うネットワークだと不要なのかな?
      と思いつつ、とりあえず、VLAN設定は行いました。
  • DHCPサーバ設定の有無
    ネットワーク1と2にDHCPサーバを設定します。
    ※ 固定アドレスのみ、または、他にDHCPサーバがあるなら不要です。
  • ネットワーク間のアクセス制限
    ネットワーク1,2間は必要に応じてアクセス制限をかけれます。
    ネットワーク1,2からは、WAN側のネットワークへは、アクセスできます。
    ※ ひかりルータとER605のネットワークアクセスには制限をかけていません。
  • WAN側ポート1、LAN側ポート2.3、LAN側ポート3,4に固定IPアドレスを設定します。
    設定例(お使いの環境で変更してください)
    WANポート1:192.168.1.1/24 ホームゲートウエイとの異なるIPを設定してください。
    ネットワーク1(ポート2,3):192.168.2.1/24
    ネットワーク2(ポート4,5):192.168.3.1/24
ルーターER605)へログインします。
  • ルーター(ER605)のLANポート5にUTPケーブルを接続します。
  • ルーター(ER605)とパソコンをUTPで直接接続します。パソコンのIP:192.168.0.2/24
    ※ ルーター(ER605)の初期IP:192.168.0.1/24
    ※ 既存のネットワークに接続して設定することも可能ですが、IPアドレスのレプリケートに注意が必要です。
  • ルーター(ER605)の電源をいれます。
    ※ 起動まで4分位かかります。(長く感じますが待ちましょう)
  • パソコンのブラウザーから、「192.168.0.1」でアクセスします。
  • ログインIDとパスワードを入力します。
  • ログイン完了です。
WAN側の設定
  • サイドメニュー(左側)から「Network」を選択します。
  • 「Network」メニューの中の「・WAN」を選択します。
  • 「・WAN」画面の「WAN mode」タブを選択します。
  • 「WAN mode:」でWANしたいポートを指定します。
    □ USB Modem ☑WAN  □ WAN/LAN1 □ WAN/LAN2
    例: 「☑ WAN」にチェックを入れ、「Save」ボタンを押します。
  • 「WAN」タブを選択します。
    Connection Type: Static IP
    IP Address:192.168.1.10
    SubNet Mask:255.255.255.0
    Default Gateway:192.168.1.1

     ※ ホームゲートウエイのIPアドレスです。
    Upstream Bandwidth:1000000
     ※変更しません。
    Downstream Bandwidth:1000000
     ※変更しません
    MTU:1500
     ※変更しません
    Primary DNS:192.168.1.1
     ※ ホームゲートウエイのIPアドレスです。
    Secondary DNS:
     ※ 設定しません。
     ※ DNSはGoogleなどの提供するDNSも可能です
  • 「Save」ボタンをクリックします。
  • 完了です。
LAN側の設定
  • 「Network」メニューの中の「・LAN」を選択します。
  • 「・LAN」画面の「LAN」タブを選択します。
  • 画面下側の「Network List」の右側にある「+ Add」ボタンを押します。
  • Network Listへ追加の画面が開きます。

    Name:Network1
    IP Address:192.168.2.1
    Subnet Mask:255.255.255.0
    Mode:● Normal 〇 Bridge

     ※ ● Normalを選択
    vlan:
    2

    DHCP設定例

    DHCP Mode:● DHCP Server 〇 DHCP Relay
     ※ ● DHCP Derverを選択
    Status: ☑ Enable
    Starting IP Address:192.168.2.2

    Ending IP Address:192.168.2.101
     ※ 100個の例
    Leage Time:120
     ※ 変更しません。
    Default GateWay:192.168.1.10
     ※ ルーター(ER605)のWAN側のIPアドレスを設定します。
     ※ 不要かも?
    Default Domain:
     ※ 設定しません。
    Primary DNS:192.168.1.1
     ※ ホームゲートウエイのIPアドレス
    Secondary DNS:
     ※ 設定しません。
     ※ DNSはGoogleなどの提供するDNSも可能です
    「OK」ボタンで保存します。
  • Network2も同様に設定します。
VLANの設定
  • 「Network」メニューの中の「・VLAN」を選択します。
  • 「・VLAN」画面の「VLAN」タブを選択します。
    「VLAN List」の右側にある「+ Add」ボタンを押します。
    「VLAN List」へ追加の画面が開きます。
    ※ ネットワーク1の設定例
    Name:VLAN2
    Ports:□ 1 ☑ 2 ☑ 3 □ 4 □ 5
     ☑ 2 ☑ 3 は、「UNTAG」を選択します。

    Description:説明を入れます。
    「Save」ボタンで保存します。
  • Network2も同様に設定します。
     ※ Netowork2は、☑ 4 ☑ 5 にチェックを入れます。
  • 「・VLAN」画面の「Ports」タブを選択します。
    「Port1」に「PVID」「1」を割り当てます。
    「Port2」に「PVID」「2」を割り当てます。
    「Port3」に「PVID」「2」を割り当てます。
    「Port4」に「PVID」「3」を割り当てます。
    「Port5」に「PVID」「3」を割り当てます。
    「Save」ボタンで保存します。
  • VLANの設定は完了です。
Synology NAS(DS223j)をネットワーク1に接続します。
  • VPNサーバはSynology NAS(DS223j)で運用しています。
    ネットワーク1にVPNで使うUDPのポートを開く必要があります。
  • Tp-link(ER605)の左側メニューの「Transmission」を開きます。
  • 「Vertual Servers」タブを開きます。

    設定例
    Name:VLAN
     ※ 名前を付けます。
    Intarface:WAN

     ※ WANを選択します。
    External Port:1194

     ※ VPNで利用しているポート番号を入力します。
    Internal port:1194

     ※ VPNで利用しているポート番号を入力します。
    Internal Server IP:192.168.2.10
     ※ Synology NAS(DS223j)のIPアドレスを入力します。
    Protocol:UDP

     ※ UDPを選択します。
    Status:☑ Enable

     ※ Enableにチェックを付けます。
    「OK」ボタンをクリックします。
  • ホームゲートウエイ(RX-600MI)の設定を変更します。
    こちらの記事の「ホームゲートウェイ(RX-600MI)の設定」を確認して下さい。
    変更箇所は、ER605が途中に入りますので、宛先IPアドレスを変更して下さい。
    SynologyNAS(DS223j)ではなく、ER605のWAN側のアドレスになります。
    例:192.168.1.10 (ER605)で設定したアドレスとなります。
  • 設定完了です。
ネットワーク間のアクセス制限

今回は、行っておりません。設定は簡単です。

以下は正常に確認できました。

  • ネットワークは、「WAN側」、「ネットワーク1」、「ネットワーク2」が作成されています。
  • Synology NAS(DS223j)のVPNへもモバイル端末から問題なく接続できています。
  • 「ネットワーク1」、「ネットワーク2」とも、DHCPサーバからの割り当ては正常です。
  • 「ネットワーク1」、「ネットワーク2」とも、インターネットへのアクセスは正常です。

設定もれなのか?仕様なのか?調査中です。

ホームゲートウエイ(RX-600MI)にER605のLAN側、「ネットワーク1」、「ネットワーク2」へのルートを設定が漏れていることが、VPNの設定を変更する時に失念していたことを気づきました。しかし、なぜ、ホームゲートウエイが、「ネットワーク1」、「ネットワーク2」を知っているのでしょうか?

  • ホームゲートウエイにVPN以外に設定はしていません。
  • ルータ(ER605)に「RIP」「OSPF」のルーティングプロトコルが動いているのかと確認したが、無効です。
    ホームゲートウエイ(RX-600MI)は設定は無いとはず。無いことも確認した。
  • 「ネットワーク1」のパソコンで「CMD」で「tracert 192.168.1.1」も正常ルートです。2も同様です。
  • NATなどの設定とかがデフォルトで動いているのですかね?
    ※ IP変換されていないか確認方法が見つけられない?
  • WANポートで設定するとIP変換される」からですかね?

あとがき

AIに聞いてもやネット検索しても解決策が見当たりません。

試しにWifiルータで2重NATで「ネットワーク3」を作成し配下に「ネットワーク1」の機器を移動しました。
VPNもでき、同じ事ができます。

(こちらもホームゲートウエイ(RX-600MI)に「ネットワーク3」のルーティングは不要です)
Wifiルータで「IP変換」が有効になっているからでしょうね。

Wifiルータ配下でNASは運用しています。
みなさんは、「ER605」の設定をどうされているのでしょうか?
ルータの設定は別途調べて判明したら記事を更新します。