新居にUniFiを導入する

日記

注文住宅で家を建てたので,家の中のネットワークを丸ごと入れ替えた.新築の家なので当然なのだが,だいたい要望して金を払えば自由にできる.ので,好きなようにやってみる.

インターネット回線を引く

何はともあれインターネット回線を契約しなければならぬ.新築の家というのは,当然外部からの引込線もないわけで,これもNTTの人と工事日程を打ち合わせて,家に来てもらって宅内まで光回線ケーブルを引っ張ってもらう必要がある.

ある程度時間がかかることは想定していたけど,光コラボのプロバイダ経由申し込みで,工事日までだいたい4週間くらいかかった.これは間にお盆を挟んだのもあるが,それにしてもある程度の時間がかかるものである.

まず新築の家というのはNTT側でも何も登録されていない新しい住所になるわけで,これを登録してもらう必要がある.これで1週間,次にどの程度の工事が必要なのかの確認に1週間,それから日程決めて,実際に工事に来るという流れになった.

ちなみに申し込んだのはIIJmioの10Gbps(光クロス).

実家では壁の中の配線も自分でやったことがあるのだが,やったのは随分昔.久しぶりにこの状態を見た.

買った機器たち

Kubernetesクラスタのノードたちがいるので,スイッチを買わないとポート数が足らないというのは最初からわかっていた. そんなに高トラフィックにはならないだろうが,VLANを組みたかったのでL3スイッチにしている.

ただし,少し後悔するのは,今であればPro HD 24とかPro XG 10 PoEとかを買いたかった……俺が買った時点では,まだ日本で発売されておらず,2.5GbEのポートがほしければこのくらいしか選択肢がなかった.HDやXGになれば10GbEのポートもあるので,こっちがよかったなぁ.

あとU6+も,U7 Liteにしたかった.そもそもU6+の在庫がかなり薄くて,心配して早めに在庫確保していたんだけど,買った数週間後にU7 Liteも発表されていたので,もう少し待てばよかったと後悔.

ただ,ネットワーク機器なのでどうせまた買い替えるだろう.俺なら絶対買い替える.最後までこれで行こうなんて微塵も思っていない.

宅内LANの設備

設計時にLANケーブルをCAT6Aに指定していた.ついでにPF管もちゃんと通してその中にLANケーブル通してとリクエストしてある.いざとなったら自分で引き直せるように.

この手の記事では,よく天井マウントをしている記事が上がっているが,あえて天井マウントはやっていない.これも,俺なら絶対買い替える自身があった.UniFiのWiFiアクセスポイントは,天井マウントする際にマウンタの受け側を天井に埋め込む必要がある. オフィスのように露出していたり,石膏ボードがすぐにはがせるのであればよいのだが,個人宅の場合,天井の石膏ボードを剥がすというのは結構な大仕事だ. そんな拡張性が低い状態にはしたくなかったので,アクセスポイント用のLANの口は壁付けにしている.

壁付けであれば,

jp.store.ui.com

こういうのもあるし,背の高い本棚や収納があれば,その上に置いても良い.いずれにしろ拡張性が高さを考えて天井マウントにはしていない.

UniFi Dream Machine Special Editionの導入

ここが最大の難関だった.

まず契約していた回線はIIJmioの10Gbps,光コラボなので契約等の窓口はすべてIIJになっている. ここで大事なことは,契約したのはインターネット回線のみであり,ひかり電話等のサービスを申し込んでいないということだ.おそらくひかり電話の場合,ONUだけでなくレンタルルーターを貸与される?気がしていて,その場合今回の構成はあまりアテにならない.

ひかり電話を契約していないので,NTTから貸与されるONUのRJ45からLANケーブルを直接UMD SEのWAN側に接続することになる.

ファームウェアのバージョンアップが必須

現状光クロスの回線は,IPv4 over IPv6がデフォルトの構成になっており,PPPoEによるIPv4のみの接続はサポートされていないことが多い(全部確認したわけではないが).となるとIPoEが必須になるわけだが,公式の情報ではtransixのサポート記事のみが公開されている.

note.com

当然それに合わせてプロバイダも選択したので,IIJmioはtransixだ.

2025年に買ったUDM SEだったが,出荷時状態ではUniFi OS 3.1.16だった. 上記の記事によるとtransixのサポートが入ったのが3.2.6なので,とりあえず上げないと話にならない.

そう,本当に話にならないのであった. UDM SEにLANケーブルを接続し,Bluetoothスマホアプリからセットアップしようとしても,そもそもインターネットに繋がらないのである.なぜなら,この時点で俺は一切IPv4 over IPv6の設定をしていないから. そしてファームウェアバージョンが低いので,そもそもその設定項目がないのである.

ファームウェアはどうやってバージョンアップするのか? インターネット接続するらしい.無理だろ.

SSH接続で手動でファームウェアのバージョンアップをやる

まずテザリングでノートPCをインターネットにつなぐ.

ui.com

ここからファームウェアをダウンロードしてくる.

次に,ノートPCをLANケーブルでUDM SEに接続し http://192.168.1.1 を開く.ここでも当然初期セットアップを要求されるが,無理なのでオフラインセットアップを選択する. このときにパスワード設定をするので,このパスワードを覚えておく.

http://192.168.1.1 を開いて,パスワードを用いてadminユーザでログインする.

そして,https://192.168.1.1/network/default/devices から Device Updates and Settings を開く.ここでSSH Authenticationを有効化しておく.とりあえずパスワード認証で良い.

あとは root@1921.68.1.1sshできる.というわけで,先程ダウンロードしたファームウェアをscpでUDM SEに送りつける.

その先は,sshログインして,

help.ui.com

この案内に従って手動アップデートをやる. 基本的には,SCPさえしてしまえば

ubnt-systool fwupdate /tmp/fwupdate.bin

これをやるだけだった.

これでしばらくして再起動すると,UDM SEのファームウェアが無事最新になる.

インターネット接続設定をする

ここまで来るとようやくIPv4 over IPv6の設定が可能となる.

https://192.168.1.1/network/default/settings/internet ここで,PrimaryのWANを設定する.

  1. IPv4 ConnectionをIPv4 over IPv6P
  2. TypeはDS-Lite (UniFi OS 4.3.6ではMAP-Eも選択肢にあったので,いつの間にかMAP-Eもサポートしてるかも)
  3. Gateway Addressをgw.transix.jp
  4. IPv6 ConnectionをDHCPv6
  5. Prefix Delegation Sizeを60

これでインターネットに疎通することができた.

公式のNoteだと,IPv6 ConnectionはSLAACとなっているが,

www.facebook.com

こちらの情報から,光クロスでONU直結する場合はDHCPv6-PDになるとのこと.

IPv6アドレスも得たい

このままだとIPv4アドレスは割り振られているが,IPv6アドレスが割り振られていないので, https://192.168.1.1/network/default/settings/networks から,defaultネットワークのIPv6を有効化しておく.

  1. Client Address AssignmentをDHCPv6
  2. DHCPv6 Rangeを::2~::7d1
  3. RA PriorityをHigh

にしておく.

これでIPv6アドレスも割り振られるので,IPv6のサイトにはIPv6でアクセスできる.

その他の機器の接続

スイッチのPro Max 24とか,アクセスポイントのU6+は接続して,ソフトウェアアップデートをかけるだけ.もうインターネットに接続されているので怖くない.アップデートボタン押せば勝手にアップデートしてくれる.

ラックにマウントした

UDM SEもPro Max 24もラックマウント対応なので,2Uのラックを買ってきた.

https://www.sanwa.co.jp/product/syohin?code=CP-HBOX2U

見た目はでかいけど,内寸はかなりギリギリ.特にPro Max 24はサイズ的にギリギリだった.これ以上でかいスイッチに買い替える場合,このラックは流用できないな…….

VLANを導入する

そして,ずっとやりたかったのがこれ. そもそもなんでPro Max 24を買ったのかといえば,Kubernetesのノードがあって,これらのためにポートがいっぱい必要になるからであり,それらのVLANを普段遣いのLANと分離したかったからだ. 更にいうとSDSを運用する都合上,ノード間の通信は速ければ速いほど良い.なので,2.5GbEのポートを使いたかった.

しかしVLAN設定は驚くほど簡単だった.だいたいUI上で設定が完結する. https://192.168.1.1/network/default/settings/networks

CIDRを設定するくらいしかやることがない.

で,VLANを設定するからにはアクセス制御をしたいはずなので, https://192.168.1.1/network/default/settings/zones

ここでZoneの設定とAllow/Blockのルールをどんどこ足していく.デフォルトでVPN/Hotspot/DMZあたりは設定されているので,今回はDMZの中にKubernetesクラスタを放り込む.

で,DMZに対してAllow/Blockのルールを追加していく.

こんな感じになる.これで,DMZ側からInternalへは,Returnパケット以外は疎通しなくなる.

おわり

ちなみにNICは2.5GbEのままなので,10Gbpsまでの速度はでない.それにしてもかなり速くなって大満足である.

apt-getもdocker pullも格段に速くなった.ghcr.ioやgcr.ioやECRからのdocker pullはバックボーンのネットワークがまともであるので,格段に快適になった.