RouterOS v7から使えるようになったWireGuard VPNを使って、リモートアクセスVPNを試してみました。設定が少しややこしいですが、速いです！

hAP acでRouterOS v6のOpenVPNを使っていると、ローカルでも30Mbps台で、自宅DSLからだと20Mbps台なので、かなり不満でした。v6のOpenVPNがTCPしかサポートしていないというのも不利な点ですが、それにしても、OpenVPNは設定自体がなかなかトリッキーです。MTU問題で痛い目に遭いがち><

自宅VDSL (100Mbps)からセンターのサーバに収容、speedtest.net で測ってみたところ、WireGuardではv6のOpenVPN (TCP)と比較して1.5～2倍のスループットが出ました。本当は50Mbps超えて欲しかったのですが、それでもOpenVPNよりずっと快適になりました。素のVDSLで88Mbps出ている時間帯でこれ↓  (もちっとチューニングできるのでは)

やりたいこと

• 高速なリモートアクセスVPNを実現
• hAP acをLinuxサーバに収容 (サーバ側は設定済み)
• hAP acのすべてのトラフィックをサーバ側からインターネットに出す。今回の目的は、マネージドな無線LAN基地局を作ることなので、要するに、利用者の無線LANトラフィックをすべてサーバ側から出すようにしたい (基地局設置場所のオーナからトラフィックを保護したい)。
  (= default routeをWireGuard側にする)

WireGuardはいいぞ

VPNにも色々ありますが、メジャーどころのIPsecは設定がややこしかったり、接続に相性問題が青々としていたりで、必ずしも使いやすくはありません。リモートアクセスVPNならL2TP/IPsecがメジャーでしょうが、設定がさらに面倒です。あと、アクセラレータがないと、CPUによる処理では速度が出ません。Linuxをサーバにしてちょっと高級な設定をしたい用途では、速度面で不利です。

OpenVPNは、相性問題はないのですが、経験上MTU問題が厄介です。あと、プロトコル上、アクセラレータを作りにくいらしく、CPUパワーがないとショボショボの性能になります。自分の用途では、超小型IoT機器でVPNを使いたいので、まず無理ですね。

さて、WireGuardはというと、CPUによる処理でも効率が高く、しかもサーバ/クライアントとも設定が楽という……、これで人気が出ないはずはありません。実際、多くのプラットフォームに実装されています。すぐにも使いたいのですが、残念ながらRouterOS v6には搭載されず、v7の正式版がなかなか出ないという状況。ぐぬぬ。

ところで、後に書きますが、WireGuardも全方位で使いやすいというわけではないので、過度な期待はしないでください。

RouterOS v7のWireGuard設定

設定ガイドはここ。本記事の執筆時点で、拠点間接続の例しか書かれていないので、色々と悩むことに……。
10

help.mikrotik.com

hAP acをv7.1beta6にアップグレードして、WireGuard関係のメニューが生えてきたところで、「後は楽勝でしょ！」と思ってしまったのが運の尽き……。最初からこのドキュメントに出会っていれば、少しは楽だったのです。

Linuxでwg0.confをいじったり、OpenWrtのLuCIでWireGuardの設定をしたことのある人は、あれ？と思うかもしれません。RouterOSのWireGuardの設定では、クライアント側のIPアドレスを設定する場所が見当たりません。これ、ドキュメントにあるとおり、WireGuardメニューないしCLIでインタフェースを生やした後、/ip/address の方で手作業でIPアドレスを付与しないといけません。IPアドレス入力欄がWireGuardメニューにないのが落とし穴です。

あと、WireGuardでは、両側のピアが入るローカルサブネットとIPアドレスをあらかじめ決めておく必要があります。クライアント側にDHCP的にアドレスを振るような仕組みは(今のところ)ないようです。これが、多数の利用者を対象にしたリモートアクセスVPNに使いにくいところ。

例えば、サブネットを 172.16.1.0/24、サーバ側アドレスを172.16.1.1、クライアント(hAP ac)側を172.16.1.2にする場合、以下の操作でwireguard1インタフェースが生えて、アドレスが付きます。

> /interface/wireguard/add listen-port=51820 name=wireguard1
> /ip/address/add address=172.16.1.2/24 interface=wireguard1
> /ip/route/add dst-address=172.16.1.0/24 gateway=wireguard1

とりあえず、初見でハマったのはこれぐらいです。あとは、クライアント (hAP ac) の鍵ペアと、サーバの公開鍵、IPアドレス、ポートを設定して、以下のようになればOK。

> /interface/wireguard/print detail
Flags: X - disabled; R - running
0 R name="wireguard1" mtu=1420 listen-port=51820
private-key="<クライアントの秘密鍵>"
public-key="<クライアントの公開鍵>"

> /interface/wireguard/peer/print detail
Flags: X - disabled
0 ;;; wgsrv
interface=wireguard1
public-key="<サーバの公開鍵>"
endpoint-address=<サーバのIPアドレス> endpoint-port=51820
current-endpoint-address=<(ここは自動表示される)> current-endpoint-port=51820
allowed-address=172.16.1.0/24 persistent-keepalive=25s rx=0 tx=0

注: WebFigのWireGuard peer設定でallowed-addressを入力しても、値が入らないことがありました。その場合はCLIの方で設定しましょう。

以上でWireGuardが接続できるはずです。サーバ側から ping 172.16.1.2、クライアント側から ping 172.16.1.1 すれば、互いに応答があるはずです。IF ない GOTO 10

WireGuardをdefault routeにする設定

今回の目的である、hAP acに収容した端末のトラフィックをすべてWireGuard側に流し、LANには通さないようにする、そのような設定を行います。

手っ取り早く、WireGuard peerの設定メニューで Add Default Route のチェックボックスを探すわけですが……、ない！_('､3｣∠)_

「そこになければないですねぇ」

OpenVPN-clientの設定には普通に存在する Add Default Route が、どういうわけかWireGuardにはありません。

仕方がないので、手探りで……。必要な設定は以下のとおり。

• WireGuardで 0.0.0.0/0 を受け付けられるようにする。
• サーバのIPアドレスの経路を、hAP acが接続されているLANに向ける (重要)。
• IP routeの設定で 0.0.0.0/0 すなわち default を wireguard1 に向ける。
• wireguard1に対してmasqueradeを有効にする。
• 元からある default route を外し、ether1 に流れないようにする。
  (metricを増やすだけでは不十分。default routeを外しにくいならmasqueradeを切る方法もある)

ぇ、簡単？……やってみそ😏　経路の設定・解除方法は、分かりますよね？

wireguard1のallowed-addressを変更する必要があります。

> /interface/wireguard/peers/set 0 allowed-address=0.0.0.0/0

masqueradeは、要するにNAPTですね(ｺﾗ)。(サーバ側のNAPTは設定済みと仮定)

こんな感じになるように、wireguard1に対してmasqueradeを設定すればOK。

> /ip/firewall/nat/print
Flags: X - disabled, I - invalid; D - dynamic
0 X ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface=ether1

1 I ;;; lte1 not ready
chain=srcnat action=masquerade out-interface=*A log=no log-prefix=""

2 chain=srcnat action=masquerade out-interface=wireguard1 log=no
log-prefix="" 

さて、今回ハマったのがこれ……、トンネルの外側でサーバに直接つながる経路の設定です。サーバへの経路を ether1 に向けるだけでしょと思ったそこの私、ハズレです。

gateway=ether1 に設定すると、wireguard1インタフェースのRx表示がピクリとも動きません。仕方がないので、ether1の代わりに、hAP acを接続したLANのゲートウェイのIPアドレスを指定してみます。動きました！

ただ、このように固定アドレスを設定すると、hAP acを持ち運んであちこちのDHCP付きLANにつないで使うといったことができなくなります。というわけで、問題は半分しか解決していません。

MikroTikさん、WireGuardにも Add Default Route ☑ を付けてくださいよ～ 🙏

課題

上記のとおり、default routeの扱いに少し難があるので、早急に改善してもらいたいところです。

hAP acをオフにして、再度オンにしたときに、WireGuardの接続が回復しないことがあります。うまく復活することもあります。想定している用途では、接続が回復しないのは致命的です。サーバ側で一度WireGuardをdown/upすると復活できるのですが、他のクライアントも巻き込んでしまう問題があります。解決法が分かる人がいたら、ぜひ教えてください。

[2021/8/15追記]  後継のhAP ac2にもv7.1beta6を入れることができたので、同様の設定でWireGuardを試してみました。こちらはなんと80Mbps程度出ました。acがMIPS、ac2がARMで、OpenVPNの性能はac2の方が若干低かったのですが、意外な結果です。残念なことに、現時点でhAP ac2には技適がなく、肝心の無線LANを使用できません。

おわり

P.S.
何度でも書きますが、hAP acに限らず無線LAN機能のあるものは、US版を掴まないように十分注意しましょう。US版の周波数ロックは解除できないし、当然技適もありません。

Proof-of-Concept Mobile OpenRoaming routers based on OpenWrt.

Probably the smallest in the world? :-)

Variations

• Previous mobile eduroam/Cityroam/OpenRoaming routers based on MikroTik hAP ac and hAP ac lite (2020)
  ("lite" cannot be used in Japan due to the radio conformity regulations.)
• New router based on GL.iNet GL-MT300N-V2 (Mango) (2021)
  (2.4GHz band only)
• New router based on GL.iNet GL-AR750 (Creta) (2021)

Features

• Based OpenWrt 21.02.0-rc3 (as of writing) (firmware: Mango, Creta)
• Truely pocket-sized.
• Fully-managed mobile router emitting eduroam, Cityroam, and OpenRoaming.
• Fast VPN tunnel by WireGuard to protect user communications from owners, LAN operators, etc. RADIUS traffic is also protected.
• Easy operation: Simply connect the LAN and USB power, and the service will be up.

Current limitations

• Only wired network is supported for the uplink. There's no Wi-Fi uplink support.
• Difficult to punch through the captive portal wall at the venue.
• There's no user interface for the owner to change any mode. (Hard to solve due to the lack of admin/normal user separation in OpenWrt)
• WireGuard cannot go through at some venues using tough network filters.
• Wi-Fi performance may not be so good. No MIMO. No Wi-Fi 6.

※ 国内での利用は技適の確認が必要です。あるいはGL.iNet製FWのバージョンが上がるのを待つか。

--

GL.iNet GL-AR750 (Creta) 無線LAN WiFi VPNトラベルルーター 11ac/n/g/b/a 300Mbps(2.4G)+433Mbps(5G) Wi-Fi 128MB RAM マイクロSD USBストレージサポート コンパクト、中継、ブリッジ、Openwrt/LEDEインストール Openvpn/Wireguardクライアント/サーバー、日本語設定画面

• GL.iNet

Amazon

GL.iNet GL-MT300N-V2 (Mango) 無線LAN VPNトラベルルーター 中継器ブリッジ 11n/g/b 高性能300Mbps 128MB RAM コンパクト ホテル用 Openwrtインストール OpenVPN/WireGuardクライアントとサーバーインストール 日本語設定画面

• GL.iNet

Amazon

以前書いた記事↓から、なんと1年半も経っていました。今回はこの続編のようなものです。

hgot07.hatenablog.com

結論から言うと、ほとんど変わっていません！w

とりあえず、必要な定義から。

• PasspointとHotspot 2.0は同じもの (少なくとも仕様上はな！)
  基地局メーカーではHotspot 2.0の表記が多いのですが、名前の分裂が問題となり、Wi-Fi AllianceとWBAではPasspointの方を積極的に使うこととされています。
• 次世代ホットスポット / Next Generation Hotspot (NGH)の名称はフェードアウト
  マーケティング的な風呂敷として便利な言葉でしたが、OpenRoamingのような具体的なシステムが登場してきたので、WBAでは積極的に使わない方針のようです。

Passpoint Release 3からどうなった？

前回執筆時の2020年1月時点で、Wi-Fi CERTIFIED™ Passpointの仕様はRelease 3が出ていましたが、その後の改訂はありません。

ざっくり言うと、SSIDに依らずに自動接続できる仕組みを規定したRel. 1が登場し、Online Sign-Up (OSU)などを追加したRel. 2が出て、さらにVenue URLやOperator Icon Metadataなどの機能を追加したRel. 3になりました。

なぜ最近改訂がなかったのかというと、「すぐに必要になる新たな機能が無かったから」だろうと思います。いや、課題は色々と残っているのですが、少なくともどう実装すべきかという高レベルの話には至っていません。

そもそもPasspointは規格(仕様)なので、ある程度固まってきたら、そう頻繁に変えるようなものではないですよね。つまり、Passpointという規格に従って、エンドユーザ向けのサービスの開発が進んできたら、自然とその名称が後ろに隠れていくものでしょう。802.1Xなんて聞いたことがなくてもeduroamやd Wi-Fiが使えるみたいに。

Passpoint Release 2, 3対応の基地局がない!?

「一番いいのを頼む」

どうせ買うなら最新のものを……、というわけでPasspoint Rel.3対応の基地局を探そうとすると、ない!? そもそもPasspoint対応すら仕様表に書かれていなかったりします。

一応、対応製品はWi-Fi AllianceのProduct Finderで探すこともできます。(登録が遅いし、掲載されていても非対応な機種とかあって、信頼性に難ありなのですが……)

www.wi-fi.org

それでは、本当にRel. 2やRel. 3に対応した製品がないのかというと、そうでもなくて、部分的に機能が少しずつ追加されている感じです。例えば、UniFiならこんな設定があり、OSUに対応しているっぽいです。ぽい。

どうもRel. 2以降の認定が進んでいないようですね。Rel. 2のとある機能の敷居が高くて嫌われている疑惑が……、しらんけどw

Wi-Fi Allianceには、仕様策定の他に、認定プログラムを実施する機関の顔がありますので、そこのビジネスが滞ると……(ｳﾜﾅﾆｦｽﾙ

Passpoint Release 3は来ないのか

なんとも雲行きの悪い話を書きましたが、悲観することはないです。

OpenRoamingが本格的に立ち上がったことで、ローミングサービスの細かなUI/UXも議論されるようになってきました。そこでよく話題に上るようになったのが、Venue URLやOperator Iconです。Rel. 3の認定プログラムを通さなくても、基地局ベンダがこれらの機能を追加してくる可能性は高いです。

以前のエントリから引用します。

"Operator Icon Metadata"や"Venue URL"は、例えばフリーWi-Fiにおいて、サービスを提供している事業者やスポンサーはどこかといった情報を、利用者に伝えるのに役立つでしょう。1X認証は、自動接続されて、標準ではキャプティブポータルがないため、従来はスポンサーの不満がありました。

※ 余談ですが、お宅の無線LANルータ、Wi-Fi CERTIFIED™のロゴが付いていますか？最近のWi-Fi 6対応機なら付いているでしょうが、少し前の11acのモデルでは、付いていない製品もありました。なぜでしょうね～

Passpointの今後

先に書いた通り、仕様としてのPasspointは、次第に利用者の目には見えない、裏方に回っていくものと考えられます。ぇ、今までも知られていなかったって？あっ、はい_('､3｣∠)_

なので、サービスのプロモーションとしても、Passpointの名前はあまり前面に出て来なくなるのではないかと思います。その代わりに、OpenRoamingのように、具体的なサービスの名称の方が、一般的になってくると予想しています。

Passpointで遊んでみたい？

設定方法がまとまった資料は、こちら↓がお奨めです (というか現状これしかない)。

booth.pm

Passpoint対応のアクセスポイントの中でも、比較的安価で設定もいじりやすく、安定しているのはAruba AP-200シリーズでしょう (注: Instant OnはPasspoint非対応, 書籍のガイドにはPasspoint記載なし)。しかし、AP-200シリーズは終売になってしまいました。執筆時点で、AP-203Rはまだ若干の流通があるようです。ただし、AP-200シリーズは今となっては少しトロいので、あまりお奨めではないです。

2021年の電子部品不足から、Aruba APは軒並み国内在庫がなくなっています。

安い基地局をお探しなら、こちらもどうぞ。

hgot07.hatenablog.com

面倒がなくて、一発で安定して動くという点では、Merakiが楽ちんですよ。安くはないけど。(リクエスト出さないとHotspot 2.0が有効にならないのは、今でもそう？)

おわり

キャリアWi-Fiでおなじみ(?)のSIM認証ですが、そのプライバシ保護についての話です。最近のスマートフォンでは、MACアドレスランダム化が実装されていて、第三者による端末追跡を困難とすることによって、プライバシ保護が実現されています。ところが、MACアドレスランダム化だけでは不十分でした。

この一年ほどの間に、Wi-Fi業界では(Google主導で) "IMSI Privacy Protection" と呼ばれる仕組みが議論されていて、これから端末などに実装されようとしています。その概略を紹介します。

[2021/6/18] 今後この方式が標準になるかどうかは未確認で進行形。

※ IMSI: International Mobile Subscriber Identity; 国際的な加入者識別番号で、携帯電話の契約時に割り当てられ、SIMに書き込まれる。英語ではイムズィのように読む。

詳しい概略(?)はWireless Broadband Allianceのウェブサイトからダウンロードできます(要登録)。多少長い英文でもざくざく読んでいける人は、ここで当エントリはやめて、ソースを参照した方が確実でしょう。英文ソースの翻訳を記事にするつもりはなく、あくまで「こんなのもあるよ」程度の安い記事なので。

wballiance.com

とりあえず日本語でざっくり掴みたい人は、この先へどうぞ。

どのようなプライバシ問題か

無線LANのプライバシ問題やその対策について、以前にいくつか記事を書きました。

hgot07.hatenablog.com

hgot07.hatenablog.com

今回はどのようなプライバシ問題かというと、フリーWi-Fiでおなじみの、「端末(利用者)追跡」です。前の記事に書いたように、すべての追跡が悪いわけではないのですが、利用者の承諾もなしに追跡できてしまうことがプライバシ上の懸念となります。

何が問題だったのか

前の記事では、認証方式としてEAP-TTLSやPEAPが使われている場合について書きました。SIM認証では方式が違い、EAP-SIM, EAP-AKA, EAP-AKA'が使われています。このうち、最近ではEAP-AKAまたはAKA'を使うのが一般的です。

これらのSIM認証方式では、EAPトンネルやouter identityといったものはなく、利用者の識別情報が平文で空中を飛ぶことになります。具体的には、識別情報として使われるIMSIが、暗号化されない形で利用されていました。

基地局(AP)の中にあるオーセンティケータと端末の間では、次のようなやり取りがあります。まず、オーセンティケータから端末に対して、EAP-Request/Identityというメッセージが送られます。これに対して、端末はEAP-Response/Identityを返しますが、このとき <prefix><IMSI>@<NAI realm> の形式で識別情報が渡されます(*1)。NAI realmは、 wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.​org の形式で、MNCがMobile Network Code、MCCがMobile Country Code (両方を合わせてPLMN-IDと呼ばれる)を表します。

IMSIが平文のままだと、どのようなプライバシ上の問題が生じるでしょうか？

悪意ある攻撃者が、キャリアWi-Fiの利用者の無線通信を傍受していたり、キャリアWi-Fiを装った偽基地局を設置していたりすると、利用者が気付かないうちに、IMSIが攻撃者に知られることになります。攻撃者と書きましたが、実は、こっそりと無線LANの利用者を追跡しようとしている、追跡ビジネスかもしれません。

IMSIは利用者に振られた永続的なIDなので、それが書き込まれたSIMを使い続ける限り、地球の裏側まで追跡されうるということです。

[2021/6/18追記] *1: 一部の端末は、どのSSIDに対しても1X認証で接続を試みるようです。そのため、WPA2 Enterpriseの無線LANシステムを運用していると、通りすがりの人のものと思しき端末から接続が試行され、RADIUS proxyのログに 3gppnetwork.org のレルムでLogin incorrectの記録が残ります (キャリアのIdPに接続されていないためOKは出ない)。このログでは、prefix+IMSIが丸見えのものが多数ですが、以下のようにユーザ名部分が匿名になっているものもあります。手元の2019年のログには既に匿名のものが見えます。(詳細は調べ切れていません)

• aka_anonymous@wlan.mnc010.mcc440.3gppnetwork.org (ドコモ)
• sim-encr_softbank@wlan.mnc020.mcc440.3gppnetwork.org (ソフトバンク)
• anonymous@wlan.mnc260.mcc310.3gppnetwork.org (T-Mobile US)

EAP-AKAの場合

端末は、EAP-Request/Identityを蹴ることができるようです。

　Ω ΩΩ＜な、なんだってー!!!

ところが、この蹴り方がきちんと定義されていなくて(ぇ?)、下手に応答しないように実装すると、接続できない問題が生じるようです。

EAP-AKAの場合、続いてオーセンティケータからEAP-Request/AKA-Identity (AT_PERMANENT_ID_REQ) が送出され、端末がEAP-Response/AKA-Identityを返します。これには  AT_IDENTITY が含まれており、形式はこれまた <prefix><IMSI>@<NAI realm> です。(ダメじゃん)

一応、AT_IDENTITY に仮名ID (pseudonym)を返す方法も規定されていますが、認証成功のためには後に素のIMSIを送ることになって、全然保護になっていません。(この辺はざっくり省略)

IMSI暗号化によるプライバシ保護

そこで、どうするかというと、認証に必要なIMSIを含むPermanent Identityを RSAES-OAEP（Optimal Asymmetric Encryption Padding, Sect. 7.1 of RFC8017) を使って暗号化します。ここで、暗号文にランダム性が入るのがキモです。

Permanent Identity = <IMSI>@wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org

Encrypted Permanent Identity = Base64(RSA-OAEP-SHA-256(Permanent Identity))

端末は、こうして得られたEncrypted Permanent Identityを AT_IDENTITY に詰めて、オーセンティケータに送り返します。このときの AT_IDENTITY の形式は、`\0`<Encrypted Permanent Identity><,<attribute>=<value>>となります。IMSIがランダム性を含む暗号に変換されているため、盗聴されても追跡が困難になります。

RSAの鍵を扱うために、公開鍵暗号基盤 (PKI) を使います。

# おうふ、また鬼門のPKIか_('､3｣∠)_

終