Bridge ModeでNUROを直収する方法

Hackerあらわる

詳しくはAlexさんのGithubを見てくれ。敢えて詳細は書かないが、特定ONUにおけるブリッジモード動作可能性を示唆してもらったので実際にやってみたところ、できてしまった。

成果としてCCR2004を用いた収用方法をご紹介する。CCRで可能ということはRouterOS全般で可能と言えるだろう。もうND Proxyとか要らん。その他のルーターでも必要な機能セットさえあれば記載の内容を元に使用するのも簡単であり、IX2215での利用も可能であることを実機で確認している。

HG8045Q側の仕様と設定方法

まずはじめに、このエントリに書かれた内容を実行した結果の責任を私は負うことはなく、すべて実行者に帰することを肝に銘じてほしい。敢えて画像などで詳細を説明せず、前提知識や技能がある者でなければ実施できないように書いてある。適当に機器をつなぐと即IPv4が割り当てられるので、きちんと設定してなかったりファームウェアが旧いRouterBoardなどをつなぐと即Winboxの脆弱性を突かれる羽目となり、また古いWindowsなど使っていようものなら一瞬でMalwareに感染する確率が非常に高い。キャリアは何もユーザーに不都合を強いるために現在の運用を行っているわけではないという側面が有ることを正しく理解して欲しい。決してサポートデスクや回りの人間に助けを請わないこと。その覚悟がないものは実行してはならない。

仕様

前回述べたように制限ユーザーではできることが限られていたわけだが、マスターユーザーではハードウェアが持つ能力を全て解き放つことができる。主な内容を列挙すると次のようなものだ。

  • 複数の接続プロファイルを作成可能
  • 接続プロファイルごとにLANポートのバインドが任意で可能
  • IPv4、IPv6関連機能の詳細設定が可能
  • ONT認証回りの情報の観覧
  • ACSパラメータ設定の一部の観覧

LAG、LACPといったスイッチ機能はマスターユーザーになっても設定項目には存在しない。しかしながら、ハードウェアの制限上、これは望むべくもないというか、LAGにこだわる必要もないと個人的には考えている。なぜならこれらで用いられるアルゴリズムは、基本的に1対1の通信においてスループットを単純に倍にすることはできないからだ。例えばISOをダウンロードするときに必ずしも2Gbps出せるわけではないのである。

Impressでのインタビューを見る限り、キャリアのHGWは特注品であり、だからこそダウンストリームがきちんと2Gbps出るようになっていて、LANやWi-Fiを複数同時に使った時にそれが生きてくる思想になっているので、そういう使い方をすべきであろうと思われる。

2Gbps/1.0Gbpsを真に享受したいならば、LAN側のPHYを2.5~10Gbpsにするしかない。そのような事情もあり、現在、モジュールタイプONUの解析やデバイス選定が界隈で活発なようである。非常に興味深く拝見させていただいております。しかし当たり前だがそのようなモジュールを使う場合、そもそもがサポート外の所業であるのは置いておくとして、OLT向けのACS設定を適切にいれなければキャリア側でプロビジョニングできなくなるので、ONU側がTR-069に対応していればよいが、パスワードもわからないし今のところ設定できないと思われ、TR-069とCWMPで疎通できないということは何らかのアラートがキャリア側で上がる可能性も考えられるので、個人的には使用を控えたほうが良いと思う。

接続プロファイルの新規作成を行う

  • 新規プロファイルで使用する分だけ、既存プロファイルからLANポートのバインドを解除する。
  • 既存プロファイルを無効にするかは悩むところだが・・・先のTR-069に絡んで割り当てられるグローバルIPアドレスに対して7547/tcpがOpenになるようだ。つまりACSとやり取りするインターフェースがなくなるので既存の接続プロファイルを無効にしてしまうと不都合が生じる気がする。
  • 既存プロファイルのVLAN IDを参照し、同じVLANとする。これはすべてが同一なのか、ACSパラメータで読み込まれた値が回線ごとにあるのかはわからないが、契約が異なる2回線で比べた限りは同一のようである。OLTとの通信用に割り当てられている。直収するルーター側ではVLANを切る必要は特にないが、設定でオフにも出来るので、後段のルーターでVLANを切ることも可能になっている。あくまでONTとOLTの間の関係性である。どちらでやってもさほどスループットは変わったようには見えないので、好きな方でやればよい。
  • WANブリッジモードにする。
  • 新しいプロファイルに任意のLANポートをバインドする。

私の場合は2ポートをIPv4用とIPv6用として使用したかったため、新規プロファイルには2つのポートをバインドした。

蛇足になるが、そもそもの話としてHG8045Qは高性能な機器であり、NURO導入時にトラブルがありHGWを3社分それぞれ交換した遍歴を持つ知人の言では「Huawei製が最も速い」だそうである。真偽は確かめようがないが、この機器を使ってトラブっている者のほとんどはWi-Fi絡みであるように見え、単一機能における欠点が目立っているだけで、ONUとしての地力は十分高い。むやみに他のHGWへ交換する申告をサポートにするべきではない。備え付けの機能に頼らずにまともなWi-Fi環境を構築すべきである。IPv6に絡む話で生理的に受け付けられないなら好きにしたらと思うが、この度、利用者自身が対応可能となったわけであって、キャリア側がこの自由をユーザーに黙認あるいは提供し続ける限りにおいて、ことさら非難するには当たらなくなったと個人的には考えている。

CCRにおけるIPv6の設定

基本的にフレッツ光クロスと同様、DHCPv6-PDが受けられれば良いようである。

DHCPv6 Client

  • Request は prefix のみを設定する。address は流れてこないので有効にしてはならない。
  • Pool Prefix Length は 56
  • Add Default Routeを有効にしない
  • 他は基本的にデフォルト値で良いが、LAN内のDNSキャッシュサーバーや指定DNSサーバーを使用したい場合は Use Peer DNS は有効にしないほうがいい場合がある。Active Directoryドメインがある場合はしないほうがいい。

DHCPv6 Server

  • InterfaceにLAN側にしたいものを選択する。bridgeでもinterfaceでもよい。
  • Address Pool6は任意の名称のものを作成する。
  • DHCP Optionsは好きなように設定したら良いが、例えばLAN内のDNSキャッシュサーバー情報をクライアントに配布したい場合には16進数かつ省略しない書式で記載する必要がある。DNS PrimaryがX、SeconderyがYなら、0xXXXXXXXXXXYYYYYYYYYYY みたいな感じである。

IPv6 Address List

  • LAN側インターフェースにIPv6アドレスを設定する
  • From Pool に DHCPv6 Server設定で作成したPoolを選択する。
  • EUI64 にチェックを入れるとプレフィックスは64になるが自動生成される。割り当てプレフィックスに含まれるものであれば固定でもよい。サブネットを設計したい場合は固定にするしかないんじゃないかな・・・

Neighbor Discovery

  • Interfaceは先ほどIPv6アドレスを割り当てたLAN側インターフェースを指定
  • DHCPv6 Server 設定で Option を設定したのであれば、Other Configuration にチェックを入れる。

IPv6 Firewall

  • 重要。基本的には工場出荷時になにも設定されていないので公式ドキュメントの設定例を参考にコンフィグを投入する。

Interface List

  • LANにつながっているインターフェースをLANに、HGWにつながっているインターフェースをWANにする。これをやっておかないとFirewallルールが適切に働かない。

CCRにおけるIPv4の設定

DHCPで配布を受ける仕組みになっている。

DHCP Client

  • InterfaceはHGWとつながっているものを選択する。
  • Use Peer DNSやNTPはお好きにどうぞ。

/23でIPアドレスが降ってきて面食らうが、どうやら最大4つまでらしい。連番で振られる保証はなく、実際に確認するしかない。また、長期にわたって固定かどうかもわからないが、開通してから数か月経過監視したところでは変更されないので、自己責任の範疇になるが実質固定と考えてもよいだろう。

IP Firewall

  • 重要。基本的には工場出荷時になにも設定されていないので公式ドキュメントの設定例を参考にコンフィグを投入する。
  • NAT で masquerade 設定を作成する。これによりLANからインターネットへ。

Interface List

  • LANにつながっているインターフェースをLANに、HGWにつながっているインターフェースをWANにする。これをやっておかないとFirewallルールが適切に働かない。

素晴らしく快適

色々言われているNUROですが、私はお勧めしますね。とにかくブリッジ構成にしたときはレスポンスが素晴らしく、我が家では大手サービスへのレイテンシがLAN内かと見紛うばかりの応答速度に変貌し非常に快適な環境となった。

また、G2V契約とfor マンションの回線でそれぞれ挙動を確認したが、NURO側のインフラとしては大きく異なるところは見られず共通のように見える。

残念ながらBiz回線は経験したことがないのだが、振り返るとNUROアクセスプレミアムの仕様を見る限り、シングルスターかどうかや帯域保証型なのかどうかという差はあるのだろうが、他のプランも技術的仕様は同じであるように思えますね。