hgot07 Hotspot Blog

主に無線LANや認証連携などの技術についてまとめるブログです。ネコは見る専。

ホームルータ Speed Wi-Fi HOME 5G L11 で他社SIMを試す

[2023/1/1追記] ちょこちょこ追記しています。その後の調査によって、掴むバンドによっては大幅に速度が落ちて4Gなのに1Mbpsぐらいになることもあることが分かってきたので、他社SIMの利用は△ (場所依存)で考えるべきという結論になりました。

 

先日、自宅のVDSLモデムが故障しまして、代替機が届くまで速い(?)回線がなくてかなり苦労しました……と、それはともかく、被災時にも使えそうな別回線を確保しておきたいとか、Starlinkまでは手が出ないなとか、DSLのない場所に機材を置きたいとか、悶々としていました。LTEドングルを幾つか使っていたのですが、スマホにSIMを挿すと20Mbpsとか出るのにドングルではなぜか10Mbpsも出なくて、何かと不満でした。

あと5Gの速度も、私、気になります!

でも自宅はドコモ5Gエリアの端っこで、窓際でもやっと入るかどうかという微妙な状況。工事無しで高速回線が使えるホーム5Gルータとやら、もしかしてスマホや5Gドングルよりも感度良かったりしないか?

 

というわけでhome 5Gを眺めていたのですが、たまたまじゃんぱらに出回っていたので、冒険して()、Speed Wi-Fi HOME 5G L11を試してみました。ZTE製ZTR01のKDDI/au向け製品です。

ZTE ZTR01

ZTE ZTR01

ピーキーでちょっと使いにくかったドングル APAL Tributo 5G と比べてみたい気持ちもありました。1万円で買える5Gドングルにもなるかもしれない  (ただしSUGOI DEKAI)。

 

これってSIMロックフリー

SIMロックフリーでした

KDDI/auブランドの製品だけあって、使える回線が気になります。ZTE製なのでそんなにヘンなことはないだろうと思うものの、いざ買ってauUQしか使えないのでは、かなり悔しいです。

さらっと検索してみた限り、SIMロックと書かれた表もありましたが、SIMロックフリーとの記載多し。楽天モバイルIIJmio (ドコモ回線)でも使えるみたいだったので (参考)、エイヤッとじゃんぱらへGo! 未使用品(新古品)をゲット。

 

OCNモバイルONEの場合

手元にある5G対応のSIMカードで試してみます。まずはOCNモバイルONE (ドコモ)。APNを手で登録する必要がありますが、それだけであっさり開通。

しかし、ドコモ5Gの入りが悪い物件なので、5Gの表示を見ることはできず……_('、3」∠)_ 4G表示の状態で、Speedtestで下り10Mbpsを少し上回る程度でしたが、LTE USBドングルより速かったのでまずは安堵。

OCNモバイルONEの4G接続

OCNモバイルONEの4G接続

[2022/12/24追記] 自宅周辺ではドコモ回線のBAND 1が非常に遅いのですが、うまくBAND 42をキャリアアグリゲーションで掴むと爆速になります。しかし、ZTR01はBAND 42に対応していません。ドコモ回線の4Gでも速度が欲しい場合には不向きです

[2023/1/1追記] 5Gが掴める別の場所に移動して試してみました。

OCNモバイルONEの5G接続

OCNモバイルONEの5G接続

場所1は、SRC造の事務所で、本体を窓際に寄せて、方向も調整してやっと、5G接続ができるという状況でした。上りが遅いのがつらいところです。

OCNモバイルONEの5G接続 (SRC造の場合)

OCNモバイルONEの5G接続 (SRC造の場合)

場所2は木造の建物で、ドコモ5Gエリアの端に位置していますが、本体を無造作に置いてもあっさり5Gを掴んでくれました。上りもそれなりの速度が出ています。(下りが自宅のVDSLより速くて悔しい)

OCNモバイルONEの5G接続 (木造の場合)

OCNモバイルONEの5G接続 (木造の場合)

 

楽天モバイルの場合

こんなこともあろうかと準備しておいたホヤホヤの楽天モバイルSIM (UN-LIMIT VII)。こちらもAPNの登録だけで無事に開通。下り20Mbps、上り6.5Mbpsぐらいでした。正直、もうちょっと頑張ってほしいところですが、4Gならこれで普通かなと。

楽天モバイルの4G接続

楽天モバイルの4G接続

本体を窓際に寄せてみたところ、なんとか5Gを掴める場所と方向 (重要)を見つけました。さてと……、5Gのキラーアプリこと Speedtest はどうかな?

楽天モバイルの5G接続

楽天モバイルの5G接続

楽天モバイル5GのSpeedtest

楽天モバイル5GのSpeedtest

ヽ(゚∀゚)ノ

下り210Mbps出たので、合格点でしょう。上りが一桁も遅いというのがアレですが、セルラー網のサービスでは仕方ないのかなと。

あれ、自宅VDSL (100Mbps)よりずっと速い……

 

[2023/1/1追記] 5G圏外の別の場所で試していたところ、最初は25Mbpsぐらい出ていたのに、ルータを再起動したらなぜか1~2Mbpsまで落ちてしまいました。接続しているバンドが本体で調べられないので推測にすぎませんが、掴むバンドによって大幅に速度差が出るのかもしれません。または接続されるサーバの可能性もあります。よって、4Gエリアで楽天モバイルのSIMが快適に使えるかどうかは「運」のようです (継続調査中)。

 

総括

(個人的には) よい買い物でした

他社の競合モデルより若干小柄なうえ、LAN端子が二つ付いているのもポイント高いです。ACアダプタは12V 2Aのものですが、容量にしては大柄で、ごわごわしたケーブルが付いてくるのが少し残念。

元から使うつもりがなかったので、無線LAN機能は詳しく見ていません。2.4GHz帯でチャネルボンディングが有効(HT40)になっていたのは、ちょっとダメなところ。ただし、設定でオフにできます。WPA2/WPA3混在モードは、古めの端末でつながらないことがあります。こちらも切り替え可能です(メニューにはあるのですが、変更が反映されないように見えるので、バグでしょう)。802.1Xなんてものは付いていません。VPN機能もなし。ばっさりと、潔い作りです。

 

ps

200Mbps出るならVPNでも快適かと思ったのですが、L2TP/IPsecで試してみたところ、30Mbpsぐらいまで落ちてしまいました。うーむ。有線しか勝たん!

 

おしまい

Connecting an OpenWrt box to Passpoint/OpenRoaming network

Todo: Simply configure an 802.1X wireless network with a dummy SSID, and insert some lines like the following just before the network section in wpa_supplicant.conf file.

The device will automatically join the Passpoint network.

interworking=1
hs20=1
auto_interworking=1

cred={
        username="userID@example.com"
        password="userpass"
        ca_cert="/etc/ssl/certs/ca-certificates.crt"
        domain_suffix_match="idp.example.com"
        roaming_consortiums="5A03BA0000"
        eap=TTLS
        phase2="auth=MSCHAPV2"
}

 

Prerequisites

OpenWrt 21.x or newer is required.

A full-featured wpa-supplicant package, e.g. wpa-supplicant-openssl, is needed. If basic one is installed, it needs to be replaced with a full version. If you cannot find wpa-supplicant package, wpad package probably contains the wpa_supplicant system.

If the installed wpa_supplicant supports Passpoint (aka Hotspot 2.0), the following commands will show some symbols.

    # strings /usr/sbin/wpa_supplicant | grep hs20

hs20 symbols

hs20 symbols

An 802.1X wireless network with a dummy SSID is configured and enabled. The SSID should be anything less popular.

 

Where is the wpa_supplicant.conf, anyway?

On OpenWrt, UCI (Unified Configuration Interface) system reads /etc/config/wireless file and auto-generates /var/run/wpa_supplicant-wlan0.conf file.

You cannot modify this temporary file manually as the UCI overwrites it.

A shell script /lib/netifd/hostapd.sh is in charge of the wireless system configuration. However, the script doesn't support Passpoint as of this writing.

Near the end of the file, you can see lines like:

        if [ "$key_mgmt" = "WPS" ]; then
                echo "wps_cred_processing=1" >> "$_config"
        else
                cat >> "$_config" <<EOF

 

network={
        $scan_ssid
        ssid="$ssid"
        key_mgmt=$key_mgmt
        $network_data
}
EOF
        fi
        return 0
}

Just before the network section is the very place to insert the above-mentioned Passpoint configuration lines.

 

Parameters

The credential (cred) section has some parameters.

roaming_consortiums is a comma-separated list of RCOIs (Roaming Consortium Organization Identifiers). The RCOI is used for the box to choose the right network to join.

ca_cert points to the CA certificates store for server authentication. The system default store is appropriate when the AAA server is using a server certificate from a public CA.

domain_suffix_match is an FQDN used as a suffix match requirement for the AAA server certificate in SubjectAltName dNSName element(s). Note that "domain" parameter is for home network identification and NOT for the server authentication.

The server authentication is quite important for protecting the password from evil-twin (malicious) access points. The domain name matching should not be omitted.

Please see README-HS20 file for more parameters and details.

 

Enabling and disabling the Wi-Fi connection

After modifying the hostapd.sh script, a command

    # wifi

will restart the Wi-Fi feature of the box.

If you turn off the SSID in the LuCI interface, the Passpoint feature will cease working.

Passpoint network connected.

Passpoint network connected.

Fin.

 

 

 

 

書評:「これ1冊で丸わかり 完全図解 無線LAN技術」(日経NETWORK)

書店で見かけて「あれ、色が違う。改訂版かな?」と思ったら、タイトルが微妙に違っていました。前回レビューしたのは「入門」で、今回は「技術」です。

前回の記事はこちら ↓

hgot07.hatenablog.com

入門編から技術の詳細に一歩踏み込んだ内容の本かと思った?残念!
後半は内容が重複しています。

一言で評するなら、

  • システム構築に振った内容
  • 新規部分が少ないうえに内容が表面的
  • ちぐはぐな構成

あれ、三つある……

 

重複部分

第3部「無線LANの素朴な疑問」は、「入門」の第4部 第1章「試してわかった!無線LANの素朴ない疑問」とほぼ同じです。元記事が同じ。実際の計測データに基づいた解説には好感が持てます

第4部「イラストで学ぶ無線LANの基本」は、「入門」の第1部 第1章「イラストで学ぶ無線LANのき・ほ・ん」と同じです。「入門」の第2章「令和時代の無線LAN」は、将来的なことの記述が多かったのですが、別記事に分散・吸収されたようです。

 

新規部分

「入門」の第5部「無線LANの構築方法を学ぶ」の元記事が古かった (2015, 2016年) ため、「技術」の第1部に置き換えられたようです。企業の無線LANシステム構築という切り口で、設計の注意点と、トラブルシューティングの方針が説明されています

第1部 第6章「ネットワーク管理に使えるソフト」は、実践的な最近のツールが紹介されている点が良いです

第1部は、全体的にふわっとしていて、技術の詳細が少ないです。この部分こそ書籍タイトルの「技術」のウリでしょうに、少し残念でした。

あと、第1部 第7章「ネットワーク機器 利用実態調査2021」は、「技術」ではないし、あまり参考にならないかなと。

「入門」にあった記事は、古いとはいえ、現在でも通用することが含まれていました。最近の規格と環境でアップデートされたものがあれば、まさに「技術」編に相応しいレベルだったのではないかと、この点が残念です。

 

第2部「5Gと高速無線技術」は、内容がちぐはぐに見えます。無線LANに限らず、様々な無線ネットワークの最新動向を俯瞰するという構成に見えますが、本書のタイトルは「無線LAN」なので、5Gのセルラー網の話に終始するのは場違いな印象を受けます。このタイトルに低速なLPWAの解説が含まれるのも、収まりが悪いです。

本書の主題は無線LANなのだから、5Gを取り上げるならば、セルラー網とWi-Fi 6/6E/7がどのように棲み分け、連携していくのかといった解説が欲しかったです

SIM認証を用いた無線LANローミングや、RAN (Radio Access Network) コンバージェンス、あと日本ではサービスがないのですがWi-Fi Callingなど、2020年時点でも既に話題になっていたわけですが、元記事がなかったのかなと。

 

お奨め度

企業や学校の無線LANシステムの構築について、実践的な技術への入口を知りたい人には、お奨めできると思います。とりあえずキーワードだけは拾えるので、詳細はネット検索で別の記事へという割り切りが必要です

既に「入門」が手元にある人は、第1部に価値を見出せるかどうかでしょう。

新しい情報が充実している方がよいというのは、その通りです。入口のキーワードが重要ですから。

 

おしまい

GL.iNet Beryl (GL-MT1300)にFirmware Version 4を入れてみた

GL.iNetのVPNトラベルルータGL-MT1300 (Beryl)は、発売当時のファームウェアがちょっと難ありで印象が良くなかったのですが、その後バージョンが上がると安定してきました。最近ふらりとダウンロードサイト https://dl.gl-inet.com/ を覗いてみたところ、Version 4.1.0 beta 1というのが出ていることに気づきました。

先日買った Slate AX のファームウェアが Version 4系で、OpenWrt 21.02ベースだったので、これはもしかして純正ファームウェアのままで Passpoint が使えるようになったのでは?

というわけで、早速アップグレードしてみます。

 

Version 4.1.0 beta 1にアップグレード

ダウンロードしてみると、ファイル名が openwrt-22.03.1-ath79-generic-glinet_gl-ar750-squashfs-sysupgrade.bin となっていました。なんと21.02でも21.03でもなく、22.03ベースらしい (゚∀゚)

GL.iNet版のGUIの方から、System>Upgrade>System Upgrade に入ってファームウェアのファイルをアップロードして、アップグレード開始!……あれ、起きてこない早速、文鎮に_(゚。3」∠)_

GL.iNetのルータで文鎮はよくあることです。気を取り直してUBootからファームウェアを焼き直してあげて、めでたく復活!

LuCIの方からStatusを覗いてみると、ちゃんとOpenWrt 22.03ベースであることがわかりました。

LuCIのStatus画面

 

WireGuardを試してみる

ファームウェアを焼くときに、設定を維持するように指示していても、後から入れたパッケージが消えてしまいます。OpenWrtはこの問題があるからリモート利用がつらい。今回も、以前に設定していたWireGuardなどのパッケージが抜けて、動かなくなっていました。

ちなみに、WireGuardの設定方法はこちらの記事と同じでいけます。

hgot07.hatenablog.com

LuCIの System>Software を見ると、kmod-wireguard はあるのですが、Slate AXにあったような kmod-wireguard-backport は見当たりませんでした。うーん、ということは、19.07から21.02に変わった時にガクッと速度低下したままのカーネルモジュールなんですかね?

仕方がないので、kmod-wireguard, wireguard-tooks, luci-app-wireguard をインストールして、作業を進めてみます。ほいっ!

WIreGuardのSpeedtest

自宅のVDSL (100Mbps)で実測90Mbps以上出ている時間帯でしたが、ルータの方がサチっている予感。GL.iNetのカタログ値は Max 91Mbps なので、ちょっと微妙な感じ?

 

比較のために、GL-AXT1800 (Slate AX) の測定結果はこちら。

hgot07.hatenablog.com

圧倒的な性能差を見せつけられてしまいました_('、3」∠)_

でも、Berylの方がちっちゃいしなぁ……

 

Passpointを試してみる

前に入れた Passpoint の設定が /etc/config/wireless に残っていましたが、アップグレードしたときに wpad が縮小版の wpad-basic-wolfssl に置き換わってしまい、電波が出ていませんでした。

フル版の wpad-openssl に入れ替えたところ、すんなりと Passpoint (Hotspot 2.0)が有効に。

設定方法はこちらと同じです。

hgot07.hatenablog.com

特に変わったところもないので、Passpointの動作確認ができたというだけで、追記することはありません。

 

今Berylを選ぶ理由は?

いくつか新モデルが出ている現在、わざわざBerylを選ぶ強い理由はありません (身も蓋もない)。

強いて言えば、ちっちゃくて安い

似た外観で GL-SFT1200 (Opal) というモデルがありますが、こちらは性能が低い廉価版だとメーカーが認めています。あと、Opalには中国・矽昌通信/SiflowerのSF19A28というプロセッサが積まれていて、OpenWrtのサポート状況に少し不安があります。GL.iNetのダウンロードサイトに、Version 4系のファームウェアはまだ(?)掲載されていません。

Berylより小さい GL-AR750S-Ext (Slate) はそのサイズこそ魅力的ですが、今となっては速度的に苦しいかなと。

最近出た Wi-Fi 6 対応の GL-AXT1800 (Slate AX) は、前の記事に書いたとおり、結構大きくて熱いです。ただし、圧倒的な性能差があるので、用途次第ですね、

 

おしまい

 

 

 

Windows 11 Enterprise 22H2で無線LANの認証が通らなくなる問題

Windows 11 Enterprise に 22H2 アップデートを適用すると無線LANの WPA2/WPA3 Enterprise で認証が通らなくなるという問題が見つかったようです

これにより、eduroamやOpenRoamingなども影響を受けました。
(おい、教育・研究の現場が影響を受けたぞ、なんてことをしてくれたんだ!)

なお、確実に影響が見られたのは Enterprise 版とされており、Proについてはまだ情報収集中のようです。しかし、Microsoft の動きから見て、近い将来に同じ問題にぶつかる可能性があるので、準備しておいた方がよさそうです。

 

状況

最近、Windows 11に22H2アップデートが降ってきましたが、Enterprise版に22H2を適用すると、WPA2/WPA3 Enterpriseの一部の認証方式で認証が失敗する現象が見られました。もう現場は大騒ぎさ~!_(゚。3」∠)_

私が出入りしているeduroamのコミュニティで早々に話題になり、その後にtwitterやWireless Broadband Alliance (WBA)でも話題になりました (しました)。

当初、eduroamのプロ()でも原因究明に手間取っていましたが、どうやら二つの独立した原因があったことが、調査によって見えてきました。以下のとおりです。

  • デフォルトで TLS 1.3 を使うように変更された。RADIUSサーバのなかにTLS 1.3の実装が不十分なものがあり、これが原因で認証に失敗するようになった。
    (なおFreeRADIUS 3.2.0以上は問題ないとされている。ただし、3.0.25以前はTLSに別の問題があるので、アップグレード必須)
  • Enterprise版でCredential Guardがデフォルトで有効化された。その結果、NTLMハッシュが使えなくなり、MSCHAPv2を使うEAP-TTLSやPEAPの認証に失敗するようになった。(主にAD利用者が影響を受けた)

eduroam方面の分析がこちら。

lists.geant.orghttps://lists.geant.org/sympa/arc/cat-users/2022-10/msg00040.html

 

Credential Guardって何? Microsoftの文書はこちら。

learn.microsoft.com

対策またはワークアラウンド

一つ目のTLS 1.3の問題については、以下の対策ないしワークアラウンドがあります。

  • TLS 1.3にきちんと対応したRADIUSサーバを使う。
  • TLS 1.3の実装が半端なRADIUSサーバでは、明示的にTLS 1.2を使うような設定を入れる。

 

二つ目のMSCHAPv2の問題については、以下のとおり。

  • Credential Guardを無効化する (!)
  • MSCHAPv2を使わない認証方式に移行する。

Microsoft自らが、Credential Guardの無効化をワークアラウンドとして示すのは、なんの冗談かなと。とりあえずやり方についてはこちら。

learn.microsoft.com

We have a problem!

MSCHAPv2がセキュリティ的に弱いことは2012年に注意喚起されています。

セキュリティ向上の観点で、MSCHAPv2をMicrosoft自身が排除しにかかったのは、正しい方向性でしょう。ただし、これでは EAP-TTLS (MSCHAPv2) や PEAP が死にます。「EAP-TTLS (PAP)なら大丈夫ですね」……ぇ

要するに、Microsoftはよりセキュアな、証明書ベースのEAP-TLSを使わせたい?

現場の無線LANの利用形態を考えると、必ずしもEAP-TLSが利用できるとは限りません。EAP-TLSで必要な電子証明書の扱いが、大学や事業者にとって必ずしも容易ではないという問題もあります。

EAP-TTLSやPEAPの特長の一つとして、他にネット接続手段がない状況でも、ID・パスワードの手入力で無線LANに接続できることが挙げられます。もちろん、手作業ではサーバ認証の設定が十分にできないという問題はあります。特に、PAP (Password Authentication Protocol)では、偽基地局に誘導された際にパスワードを先方に知らせてしまうことが大きな問題です。そのため、セキュリティ的に十分とは言えないにしても、セーフティネットとしてMSCHAPv2を使うのが、現在のベストプラクティスになっています。現場で要求されるセキュリティレベルに応じて手段を選択できることが重要で、代替策もない状況でいきなり止めるのは、問題ではないでしょうか

というわけで、MSCHAPv2 がある日突然使えなくなって、EAP-TLSへの移行がすぐにできないとなれば、何が起こるでしょう?

Unusable Securityとは何か

出典:  https://www.slideshare.net/Docker/dockercon-eu-day-1-general-session

EAP-TTLS (PAP)に逃げたら、こうなりますよねぇ。

ちなみに、EAP-TTLSはサーバ認証が前提の方式です。端末上でサーバ認証がきちんと設定されている限り、PAPでも安全性は保たれるはずです。

 

全くネット接続のない状況というのが最近は減ってきているので、既存のネットを利用して電子的にWi-Fi設定のためのプロファイルを流し込む web-based provisioning のような仕組みが、最近のWi-Fi業界では推奨されるようになっていますWindows 10とWindows 11では、ms-settings: URIスキームと呼ばれる仕組みを使って、ウェブからの設定ができるようになっています。この仕組みですが、執筆時点で EAP-TLS には非対応のようです (実機で確認済み)。

まって……

Microsoftさんは何がしたいんでしょうね……?

せめて十分前もってアナウンスが欲しかったです (愚痴)。

 

おしまい

公衆無線LANにおけるWi-Fi 6E、WPA3に泣く

2022年9月2日、日本国内でも無線LANの6GHz帯の一部が開放され、Wi-Fi 6Eの利用が解禁になりました。

www.itmedia.co.jp

そわそわしている人がそこそこいると思います。学校・大学などのキャンパス無線LANや、公衆無線LANでも、積極的に導入すべきものでしょうか?

バンド幅以外のWi-Fi 6Eの目玉の一つ(?)は、WPA3必須化でしょう。Wi-Fi 6の5GHz帯でもWPA3は利用できましたが、6GHz帯ではWPA3が"必須"となっています。

ところが、家庭内乱^H LANと違って、大勢が利用する無線LANシステムでは、色々と困ったことが出てきてしまいました。とある国際リナカフェの業界人が話していたことをこっそり披露します。

結論から書くと、「公衆無線LANでは6GHz帯を別扱いするしかなさそう」ということです。

 

要点

WPA2/3 Enterpriseを使う無線LANシステムを想定します。

要点をざっくりと書きだしてみると、こんな感じです。

  • WPA2以前に脆弱性KRACKsが見つかったので、ガチな対策が含まれたWPA3が出てきた。ただし、WPA2の実装にも攻撃を緩和するパッチが出ている。
  • 2.4GHz帯と5GHz帯では、WPA2 Enterpriseが広く長く使われてきた
  • 無線の状況が変化したときにバンド間で自動切換が可能な、バンドステアリングという技術があるIEEE 802.11r (Fast Basic Service Set (BSS) Transition) が有効ならば、切替時に認証処理をスキップして、通信断の時間を短縮できる。
  • Wi-Fi 6Eの6GHz帯では、WPA3が必須で、WPA2は使えない。
  • WPA2とWPA3の切り替えには、比較的長い通信断が伴う
  • WPA2への後方互換性がある(とされる) WPA3 Transition Mode (TM) というものが存在する。
  • 古めのOSや無線LANドライバは、Transition Modeに設定された基地局にうまく接続できないことがある。

ぇ、えー!?

 

どうする?

様々な端末が接続される公衆無線LANシステムでは、まったく接続できないというトラブルを嫌って、バンドステアリングさえオフにすることがあります。

しかし、バンドステアリングは魅力的です。最近の端末なら利用できるので、公衆無線LANでも有効にする流れでしょう

WPA3はまだまだ対応端末が少ないので、2.4GHz帯と5GHz帯で使ってしまうと、ほとんどの人が接続できない公衆無線LANシステムができあがります

 

6GHz帯もバンドステアリングの仲間に入れられるかどうかを考えてみます。通信断の時間を短縮するには、すべてのバンドでWPA3が使えるようにするしかありません。

こんなこともあろうかと WPA3 Transition Modeを……(マテ

残念ながらWPA3 Transition Modeは鬼門で、使用する端末が限定的でない場合、これを使うのは避けた方がよいと言われています

はい、行き詰まりましたね_('、3」∠)_

それで、どうするのが現時点で無難かというと、「バンドステアリングを有効にしつつ、6GHz帯だけSSIDを分ける」しかないということになりそうです。確定した結論ではなくて、業界でもeduroam界隈でも、議論は現在進行形です。

あとは、

  • 全バンドでバンドステアリングやFast Transitionを諦めて、SSIDを共通化する。
  • どうせ5GHz帯同様に大して飛距離がないのだから6GHz帯に夢を見ない😇

といったところでしょうか。

 

Wi-Fi 6Eは要る?

既設のWi-Fi 6の基地局を早急に6Eに更新する必要性は、公衆無線LANの用途では無いと考えられます。そわそわしなくても大丈夫です。

基地局を新規導入するなら、数年後の状況に備えて、Wi-Fi 6Eに投資しておくのもよいでしょう。

SSIDを分けたり、端末を限定してでも、広帯域が欲しい」という用途なら、突っ込んでみたらよいのでは?(無責任)

 

おしまい

Edgecore Networks EAP101のPasspoint機能を試す

台湾の会社 Edgecore Networks から、Wi-Fi 6対応の基地局として EAP101, EAP102、またコントローラとして EWS101 が出ています。この会社は、Telecom Infra ProjectOpenWiFi に積極的に取り組んでおり、基地局が Passpoint (Hotspot 2.0) に対応しているとの話だったので、気になっていました。国内ではALAXALA、APRESIA、BeMapなどから販売されています。

2022年頭に国内業者に様子を聞いてみたところ、Wi-Fi 6 と Passpoint に対応していますとの返事だったので、早速検証機を借りたのですが、届いてみてびっくり。Passpoint周りの設定項目がない!本社の製品紹介のサイトを見ると Hotspot 2.0 対応と高らかにうたわれています。まさかおま国仕様かと思ったのですが、どうやら世界的にもまだ非対応だったもよう。

あぁ、またか……_('、3」∠)_ 中国や台湾のメーカーはこういうことがよくあります。別メーカーでも踏みました。きちんと現物確認してからでないと怖くて買えません。

もうすぐ対応版ファームウェアが出るから……、3月には出る見込み、6月頃……とどんどんずれ込んできて、執筆時点 (2022/8/21) でも、実はまだ公式には非対応なんです。ところが、3月頭に出た v11.5.0 あたりから Hotspot 2.0 対応のプログラムが入り始めて、コマンドラインからゴソゴソすると、動くじゃぁありませんか!

v12から公式対応との噂がありますが、一足先に色々と試してみました。

 

外観

Edgecore EAP101

Edgecore EAP101背面

ん-、結構大き目ですね。PoEでもDC 12Vでも駆動できます。

Wi-Fi 6はどこの製品も熱い感じ(ダブルミーニング)で、ちょっとごついヒートシンクが付いています。

 

Edgecore EAP101 LED部分

5Gと書かれるとドキッとします。セルラーじゃないんだよ!

 

Edgecore EAP101, EWS101

手前がコントローラのEWS101です。こちらはちっちゃい。

 

管理画面の様子

ブラウザからコンソールにログインしてみると……、あれ、今一瞬 LuCI と見えたような?

EAP101 グラフィカルコンソール

気のせいじゃなく、まんま、OpenWrt の LuCI ですね。

 

Wi-Fi設定は分離型

Wi-Fi の設定は2.4GHz帯と5GHz帯の二系統に分かれていて、個別にSSIDなどの設定が必要です。この辺、OpenWrtの流儀なのかもしれませんが、RADIO以外の設定が一括でできるMerakiのようなスタイルの方が扱いやすいと思います。バンドステアリングも自然に見えるので、個別設定をしなくても済むように、改良して欲しいところです。

 

実を言うと中身はOpenWrt

OpenWiFiというのがどういうものか、まださっぱり調べられていませんが、前のキャプチャ画像にある通り、現行のファームウェアは OpenWrt ベースでした。

ちなみに、最新のファームウェアはここ ↓ (国内ベンダから入手しない場合は動作保証外なのでご注意を)

執筆時点の最新版は v11.6.4-1333 でした。

なんと、EAP101もEAP102も、sshのポートが開いていて、CLIでもアクセスできるんです!他のOEM各社では軒並み、sshのアクセスが塞がれています。CLIが開放されているのは、基地局のオープン化やホワイトボックス化の流れで、とても嬉しい。

早速sshでアクセスしてみると……、

EAP101 CLIコンソール

\ ばばーん /

もう全然隠そうともせずに、arm_cortex-a7のOpenWrtですね(笑)

opkgも使えるかと思って試してみたのですが、パッケージ管理周りは使えないようです。うーん、WireGuard VPNが使いたかったのに……。

 

Passpointを有効にしてみる

まずは、Passpoint対応のドライバ類が入っているかどうかを調べます。

以前の備忘録()を引っ張り出します。

hgot07.hatenablog.com

コマンドラインで、

  # strings /usr/sbin/wpad | grep hs20

を実行してみると……、

wpadがHotspot 2.0対応かどうか調べる

ぞろぞろと hs20 関係のシンボルが表示されました。これならいけそう!

先に、Wi-Fi周りの設定をGUIで済ませておくと楽です。WPA2 Enterpriseのモードにして、RADIUSサーバも接続しておきます。

CLIの方で、/etc/config/wireless をエディタで開いて、該当するセクションを探します。例えば、config wifi-iface 'radio0_1' みたいなものです。そのセクションに、hs20とinterworking関係のオプションを追加していきます。

        option iw_enabled '1'
        option iw_interworking '1'
        option iw_access_network_type '3'
        option iw_internet '1'
        option iw_disable_dgaf '1'
        option iw_asra '0'
        option iw_esr '0'
        option iw_uesa '0'
        option iw_osen '0'
        option iw_venue_group '2'
        option iw_venue_type '8'
        option iw_hessid '00:00:00:02:02:02'
        list iw_roaming_consortium 'xxyyzz0000'
        list iw_nai_realm '0,example.com,13[5:6],21[2:4][5:7]'
        list iw_nai_realm '0,example.org,13[5:6],21[2:4][5:7]'
        list iw_venue_name 'P"eng:testSite"'
        list iw_venue_url '1:http://www.example.com/info-eng'
        option iw_network_auth_type '00'
        option iw_ipaddr_type_availability '0c'
        list iw_domain_name 'example.com'
        option hs20 '1'
        option hs20_oper_friendly_name 'eng:testSite'
        option hs20_operating_class '5179'

Passpoint の仕様書を見ないと、何が何やら分からないですね、これ。がんばって!ww

パラメータ名と、それぞれに何を詰めるかは、hostapd.confのテンプレートが参考になります。

Operating Classは、IEEE 802.11 の仕様書を見る必要があります。ただ、どれが正解なのか分からなかったので、適当にエイやと値を詰めています。

要注意なのが iw_venue_url で、オプションだから不要だろうと思って省略すると、iw_enabled '1' にした途端に、そのSSIDのビーコンが消えます。これを見つけるまで、かなりの日数を費やしました_(゚。3」∠)_

さて、きちんとPasspointが使えるでしょうか?

Hotspot 2.0が有効になった表示例

ヽ(゚∀゚)ノ ちゃんとPasspointが使えるようになりました。正式対応版が楽しみです。

 

めでたし めでたし

 

ps

リモート管理をするマネージドWi-Fiの用途でVPNが必要なので、WireGuardやOpenVPNはぜひ欲しいところです。というか、opkgを使えるようにして欲しい。

あと、EAP101でもそれなりの価格なので、小規模な店舗やSOHO向けに、4万円を切るぐらいの廉価モデルがあればいいのになぁと。 (GL.iNet GL-AXT1800なら、無線部分は弱いでしょうが、WireGuardも付いて1.6万円程度なのだし)