Passpointから10年ちょっと、AndroidのPasspoint実装がまともに使えるようになったのが2018年頃、そして、WindowsもmacOSも、iOS/iPadOSも (そこそこ) 実装が進んだのに、なかなか対応してこなかったのが ChromeOS です。

おそいよ！##

同じGoogleでも、Passpoint / OpenRoamingの開発に積極的に関わって、他ベンダに先行して実装を充実させてきたAndroidと違って、ChromeOS の対応状況は本当に酷かったです。Googleの中も、チームが色々と分裂していて、なかなか大変なようですが……

2023年5月、やっとのこと、Chrome 114でPasspoint対応したとのアナウンスがありました。当エントリでは、ChromeOS / Chromebook におけるPasspointの設定方法を紹介します。業界内でも見つかったばかりのホヤホヤの情報で す した。

support.google.com

ない……ないよ

Passpoint対応がアナウンスされたのに、肝心の設定方法がさっぱり見当たりません。

Passpointは、従来の802.1Xと比べると設定に必要なパラメータが多く、証明書のデータも含まれているので、手動Wi-Fi設定とはいきません。プロファイルと呼ばれるデータを用いて、ウェブサイトから設定を投入する (web-based provisioning) か、アプリから設定する必要があります。

Googleの中の人が「Androidと同じような実装がChromeにも入るよー」と言っていたので、てっきりPPS MO形式でのweb-based provisioningかと思ったのですが、ブラウザでAndroid用のプロファイルをつっついても、ファイルがぽとりとダウンロードされてくるだけです_('､3｣∠)_

ChromeOSでプロファイルベースのWi-Fi設定やMDM (Mobile Device Management)といえば、Open Network Configuration (ONC)形式のファイルを使う方法があるので、きっとこれでしょう！

結論……だめです_('､3｣∠)_ 

ONC形式が拡張されるのかと思って、何日も待っていたのですが、一向に変わりませんでした。

Passpoint設定の方法

本題です。

要するに、「Android用のアプリで設定せよ」とのことでした。ぇー、そんな中途半端なの……

まず、Chrome 114からPasspoint対応とアナウンスされていたのですが、まともに動くのはどうやらChrome 115以降のようです。というわけで、いそいそとChromeOSをアップデートします。

ChromeOSには、一部のAndroid用アプリを動かせる仕組みが備わっているので、この機能を有効にします。(詳細はあちこちのウェブサイトにあるので省略)

Google Playから、PasspointやOpenRoamingに対応したアプリをインストールして、サインアップすれば、設定できるはずです。ただし、Androidと違って、ChromeOSではPasspointプロファイルに埋め込まれている Friendly Name などが表示されません。非Passpointのネットワークと同じように、接続されているSSIDしか表示されません。この辺はまだまだ洗練されていません。

とりあえず、Cisco OpenRoamingを試してみました。使用した機材は、ちょっと古いですが、Lenovo IdeaPad Duetです。

ほい！

ちゃんとOpenRoamingで繋がっているのかって？FreeRADIUSのログはこのとおり。

レルム名が google.openroaming.net になっているので、Cisco OpenRoamingのアカウントで認証成功していることが分かります。

ChromeOSのPasspoint設定の方法を探し続けているうちに、たまたま検索に引っかかって、やっとのことでたどり着いたのがこのページです。

support.google.comこんなの、ChromeOSのネイティブな実装じゃないよなぁともにょりながらも、とりあえず動いたのでヨシ！ (だめ)

さらに古い、別のChromebookも手元にあったので、試してみました。ASUS Chromebook C213NAです。こちらもOpenRoamingに接続できることが確認できました。

Passpoint設定の解除の方法

説明によると、アプリを削除せよとのこと。

Cisco OpenRoamingでログアウトしても、Passpoint設定は生きたままのようでした。

アプリを削除しても設定が残っているようなら、ChromeOSの設定で、当該SSIDのプロファイルを削除します。

任意のアカウントは利用できない？

Cisco OpenRoamingなどのアプリは、アカウントの払い出しまで機能に含まれているので、例えば自前のアカウントを発行して端末に設定するといったことができません。現状で、ChromsOSではアプリ(API)ベースのPasspoint設定しかサポートされていないので、任意のアカウントを仕込めるアプリでも用意しない限り、自前のアカウントは使えないことになります。

学術系無線LANローミング eduroam の世界には、geteduroam というアプリがあり、これを使うとAndroidでも任意のアカウントでPasspoint設定ができます。これを試してみようとしたところ、Google PlayにChrome非対応として登録されているらしく、アプリがインストールできませんでした。(geteduroamの開発者には報告済み)

おわりに

正直、この程度では一般の利用者に使わせるのは少々厳しいです。まともなweb-based provisioningの仕組みが実装されてくることを期待したいのですが、ChromeOSの枠組みで実現可能かどうかは不明です。(個人的には、崇高な理念がしばしば利便性を阻害しているように感じるChromeOSなので)

余談ですが、Chromeのアドレスバーに "chrome://flags" と入力すると、Passpoint関係のオプションも見えます。

おしまい

ほぼ一年前の2022年8月に、こんな記事を書いていました。当時のファームウェア v11.6.4-1333 では、CLIからごそごそいじって、やっとPasspointがだましだまし使えるレベルでした。一応v12からGUIに設定メニューが入ったものの、紆余曲折あって、v12.3.1でもまだGUIだけでは設定が投入できない状況。うーん……

hgot07.hatenablog.com

待望のまともに動く版GUIのファームウェアが出ました！ヽ(・∀・)ノ

v12.4.1です。ファームウェアはこちらでダウンロードできます。

https://support.edge-core.com/hc/en-us/articles/4404531198233-EAP101

https://support.edge-core.com/hc/en-us/articles/4405892429081-EAP102

Passpoint設定の変更点

実は、一つ前のv12.4.0でも、GUIだけでPasspointの設定が投入できるようになっていました。OpenWrtベースのEAP101では、設定ファイル /etc/config/wireless の中で、config wifi-iface セクションに、Passpoint (Hotspot 2.0)関係のオプションが入る仕組みでした。しかし、これでは、バンドごとにPasspointの設定を書かないといけないという面倒くささがありました。Passpoint設定をインタフェースから独立させて、バンドステアリングできるようにするのが、正しい方向性でしょう (Merakiと同様)。

そこで、他にも色々と不具合のあったPasspointまわりの修正と、機能改善をEdgecoreにお願いしていたところ、以下の変更が入りました。

1. Passpointの設定がProfileとして独立して、/etc/config/hotspot20 というファイルに格納されるようになった。
2. Wirelessのバンドごとの設定では、どのPasspointプロファイルと紐づけるかを選択するだけになった。
3. 分かりにくかったHESSIDとOperating Classに、自動的に初期値が設定されるようになった。
4. NAI realmやPLMNなどの設定が楽になって、hostapdの記法を調べなくてもよくなった。

ちなみに、v12.4.0の設定画面は以下のとおりです。例えば NAI realm に '0,example.com,21[2:1][3:1][5:7]' のように入力しないといけないなど、大変面倒くさいものでした。

OpenRoaming設定

えっ、Passpoint設定じゃないんですか!?

なぜか分からないのですが、管理画面にPasspointやHotspot 2.0の文字が見当たらず……。しかし、OpenRoaming以外のPasspointの設定も投入できるので、画面だけの問題です。

NETWORKメニューの中にOpenRoamingというのがあるので、この中で設定します。最大32個まで登録できるようです。

Add newをクリックして、新しいプロファイルを作ります。HESSIDには初期値が入っているので、基地局が一台だけの場合はそのままでOKです。複数台を並べて仮想的に一台とみなす場合は、どれかのHESSIDに合わせます。

最低でも、Venue Name, Venue URL, Operator Friendly Name, Domain Nameの設定が必要です。

PLMN ListやRoaming Consortium List、NAI Realm Listは、自分が使うPasspointの設定に合わせて、値を入れていきます。

Roaming Consortium Listには、5オクテットまたは3オクテットのRCOI (Roaming Consortium Organization Identifier)を並べていきます。

NAI Realmの設定が、本当に楽になりました。EAPタイプとAuthentication Methodを選択していくだけです。

実はここだけの話、こんな感じで設定できるようにして欲しいと昨年からEdgecoreにお願いしていたら、2023年3月にAccton/Edgecoreの台北オフィスで打ち合わせした際に、GUIのモックができていました (・∀・)
(さりげなくべたに貢献をアピールしていくスタイル)

一通り設定を入れると、/etc/config/hotspot20 の中に、こんな感じでセクションが追加されます。

config profile
        option name 'example'
        option iw_internet '1'
        option iw_access_network_type '3'
        option iw_hessid 'F8:8E:A1:xx:xx:xx'
        option iw_venue_group '3'
        option iw_venue_type '0'
        option network_auth_type '00'
        option iw_ipaddr_ipv4_type_availability '4'
        option iw_ipaddr_ipv6_type_availability '0'
        option hs20_operating_class '5173'
        option iw_ipaddr_type_availability '10'
        option iw_enabled '1'
        option anqp_domain_id '88'
        option iw_anqp_3gpp_cell_net '999,002'
        list iw_venue_name 'eng:testVenue'
        list iw_venue_url '1:https://www.example.com/info-eng'
        list hs20_oper_friendly_name 'eng:testOperator'
        list iw_roaming_consortium 'deadbeef99'
        list iw_domain_name 'example.com'
        list iw_nai_realm '0,example.com,21[2:1][3:1][5:7]'

Passpoint Profileの紐づけ

WIRELESSメニューの中で、Passpointを有効化したいSSIDごとに、OpenRoaming Passpoint Profileを紐づけます。

/etc/config/wireless の中に、以下のような行が追加されます。随分シンプルになりました。

        option hs20 '1'
        option hs20_profile 'example'

端末からのテスト

基地局に設定したものに対応したPasspointプロファイルを端末にインストールして、動作確認します。Windows 11の例はこのとおり、EAP101から正しくPasspoint対応の電波が出ていることが分かります。

なお、WindowsやiOS/iPadOSでは、一度見たPasspointの値をキャッシュに保持して、なぜかずっとその情報を維持してしまう問題があります。基地局に新しいNAI realmを登録しても、端末を再起動するか、SSIDを変更するまで、端末が検出できないことがあります。(このヘンテコな実装をしたヤツは誰だ！(ｶﾞﾗｯ))

おわりに

Edgecoreの基地局も、やっと本格的にPasspointが使えるようになりました。自分はまだ試していないのですが、ecCLOUDからの設定投入もできるみたいです。既に大規模な導入事例も出てきているので、探してみてください。

再見

昨年の記事の続編です。これまでに分かった細かいことを書きます。

技適付きのものがAmazonでも買えたので、入手方法については前の記事を見てください。(販売元は要確認)

hgot07.hatenablog.com

個人的に嬉しかったTributo 5Gの特長をざっくりまとめると、こんな感じです。

• Wi-FiのSIM認証が使える。
• WindowsでもOpenWrtでも使える。macOSにも対応しているらしい。
• LTE/4Gでも、他のLTE USBドングルより高速な通信が可能 (なこともある)。

SIM認証が使える

仕事の関係上、Wi-FiでSIM認証が使えるLTEドングルを探し続けていました。要するに、EAP-SIM/AKA/AKA'のことです。

国内では GREEN HOUSE や PIXELA などからLTEドングルが出ていますが、残念ながらWindowsでSIM認証ができませんでした。これらのドングルはRNDISモードで動作して、Windows端末に挿すとDHCPでアドレスが振られて、Webインタフェースで設定が可能なものです。これはこれで便利なのですが……

本題の Tributo 5G ですが、中の人に聞いたところ、出荷時にはMBIMモードで動作するとのことです。RNDISなどの他のモードにも変更できるみたいですが、切替ツールが公開されていません。

Windows 10や11の端末に Tributo 5G を接続すると、WPA2/3 Enterprise の ESSID の下に、「SIMカードを使って接続」という表示が出ます。

このオプションをクリックすると、後は何も入力しなくても、無線LANのSIM認証が設定されます。基地局とキャリアがSIM認証に対応していれば、あっさりと接続完了です。

上の例では Tributo 5G を使ってRakuten (LTE)でセルラー網に接続されていますが、手元の基地局は楽天モバイルと認証連携されていないので、認証には失敗します。SIM認証に対応したキャリアと基地局で試しましょう。

研究では、IIJに特別に作ってもらったSIMカードを使って、Cityroamの基地局でWi-FiのSIM認証が動くことを確認済みです。

WindowsでLTE/5G接続

Windows端末に Tributo 5G を挿すと、携帯電話の項目が設定メニューに生えてきます。他のLTEドングルではウェブインタフェースでAPNなどを設定するのですが、Tributo 5G では端末にIPアドレスが振られないので、Windowsの機能で設定します。

注意点として、Windowsの携帯電話の設定で、APNの種類に「インターネットとアタッチ」を選択する必要があります。ナニコレ？「LTEアタッチ」の略ですが、分かりにくい表記なので、しばらくハマりました_('､3｣∠)_

アタッチの設定が漏れていると、HSDPAに張り付いてしまいます。3Gが使えない5G SIMでは「圏外」という表示になります。

こんなんわかるかーい！・・・・・(ノ｀Д´)ノ彡┻━┻

OpenWrtでも使える

OpenWrt箱にUSBで接続してみたところ、おもしろいことが起きました。

WindowsではIPアドレスが振られなかったのですが、OpenWrt箱に接続してusb0の設定をすると、192.168.225.XX/24のアドレスが振られました。CDCの別のモードでしょうか？

試しにウェブブラウザから 192.168.225.1 にアクセスしてみると……、

えっと……、User nameとかPasswordとかどこにも書かれていないんですけど。

あてずっぽうに admin / admin と入力してみると…… (ﾟ∀ﾟ)

何か出ましたね。何かあったときのリカバリ方法とか分からないので、自己責任でどうぞ。

LTEでも速い件

最近、LTE USBドングルの速度が遅くなっていませんか？以前は10Mbpsを軽く超えていたのに、2022年頃から5Mbpsを切るぐらいまで落ちてしまうことが頻発していて、わけがわかりません_(ﾟ｡3」∠)_ どうもセルラー基地局と電波状況が変わったせいらしいのですが。

あと、出回っているLTEドングルがなぜかBand 42に非対応なんですよね。ドコモがこのBandを使っているのですが。

さて、本題の Tributo 5G ですが、LTEドングルの代用として使うにはかなりお高めですが、なぜかLTEでも速いことがあることに気付きました。

ぇ？ (つд⊂)ｺﾞｼｺﾞｼ

上りは7.34Mbpsとしおしおですが、下りが120Mbps近く出ている！LTEも本気出すとこうなるのか～(・∀・)

確かOCNモバイルONEのSIMカードだったと思います。たまたまこのバンドを掴んでCAが有効になると、幸せになれるみたいです。

おしまい

APAL Tributo LAN 子機ドングル 5G/4G 2.52Gbps USB3.1 デュアルバンド 放熱対策 Microsoft Windows 10, Mac, 10.15, Ubuntu14.04, Linux 3.14以上対応 高速 低遅延

• APAL

Amazon