4720064216

まだしょっぼいブロードバンドルータで消耗してるの?OPNSenseとBaytrail ベアボーンで快適フレッツ光ネクストのギガな生活

この記事の所要時間: 635

記事を最近流行りの煽り系タイトルで始めてみました。無意味に煽ってすんませんw

さて、最近はフレッツ光ネクストのギガコースやAUひかりなどで1Gbps、ないしはそれを超えるサービスがどんどん出始めてきました。

私も2001年から光ファイバを使い始めてはや14年。光ブロードバンドの接続料だけで2百万近くぶっこんでいるわけですが、、、バッファローやアイ・オー、プラネックスなどの民生機ルータから始まり、はたまた業務用ではNetgearやシスコなども使ってきました。100Mbpsのラインだとぶっちゃけそこまで性能差が開かないのですが、ギガビットになるとかなりルータの個体差での性能差が顕著にでてくるように見受けられます。

中でも以下の3つはルータの性能を著しく悪化させる機能でこれをOnにすると大体のブロードバンドルータは搭載しているCPUでこれらの機能をソフトウェア処理するのでトラフィックは一気に劣化します。個人的な体感速度はせいぜい200Mbpsを少し超えるくらい。(フレッツのONU込のルータは時々300M〜400Mbpsくらい出して驚くのはまた別の話に。)

  1. NAT
  2. Firewall
  3. IDS

ということで、これを民生機のブロードバンドルータなどやエントリークラスのシスコルータなどを使わず、Baytrailのマルチコアベアボーンなどを使ってお手軽簡単ルータを使って幸せになりませんか?というのは今回の趣旨です。
アイキャッチの画像は現在我が家で使っているCeleron J1900のベアボーンで動いているルータ/Firewall用のOS,OPNSenseで動かしているルータ君のSpeedtest.netの検証結果です。プロバイダはとくとくBBの固定IPのコースなのですが、この時間だと大体500M超えれば御の字な感じですね・・・平日朝はやい時間や日曜日の夜明けごろはもっと700Mbps近い値を叩き出すことも良くあります。

性能劣化原因その1.NAT

皆様御存知のとおり、フレッツは基本的にはIPv4 ではPPPoE/L2TPによるプロバイダへのLayer2でのトンネル接続をしていますが、自宅のCPE(ブロードバンドルータね)、LAC〜LNSと経由してプロバイダへ接続されます。

な かでもCPEは自宅内のネットワークのセグメントからフレッツのプロバイダから払い出されるIPv4アドレスの間でNAT(ネットワークアドレス変換)の 機能を使って自宅内から外部への多対1のインターネット接続を行います。また外部からのアドレス、ポートを内部のネットワーク上のホストのアドレス、ポー トに変換する機能もこちらで行います。

大体のルータにおいてはこちらの処理はCPUで処理を行う事がほとんどです。よって高速にダウンロー ドを行う際はCPUに高速にこのアドレス変換を行える基礎体力が必要となります。最近のブロードバンドルーターにもマルチコアのCPUを搭載するものも次 第に出始めていますが、コア数が多いほど並列処理するキャパが増えますのでその分性能に顕著に出て来ます。

これをBaytrailなCeleronで動かすと4コアでゴリゴリ回してくれるので快適ですよ!

性能劣化原因その2.Firewall

お 次はFirewallですね。こちらはザックリ言うと外部のインターネットから自宅の内部ネットワークへ流入してよいプロトコルと該当するポートへの接続 許可/禁止を行う機能です。OPNSenseは簡易的なFirewallですが、最近の良いルータだとDPI(Deep packet監視、ルータ上に流れるパケットの精査)を行うことができ、それにより細かなルール付けをしたり出来ますが、これまた安いルータではCPUに よる処理となり、そのれに伴いCPUの高い性能が要求されることが多いです。

これをBaytrailなCeleronで動かすと4コアでゴリゴリ(ry

性能劣化原因その3. IDS

3つめはIDS(侵入検知システム)です。
文字通り、ネットワークに侵入してくる悪いやつの行動を事前に検知して通知するシステムです。ここ数年前からはIPS(侵入防御システム)なども出ていますが、OPNSenseはIDS機能までとなっています。

こちらも流入してくるパケットの中身を見ながら、該当する悪いことリストから悪さしている人がいないか精査しますがこちらもこれまた安いルータにはCPUで処理させるケースとなりますのでこれを利用する分、転送性能は劣化します。

これをBaytrailなCeleronで動かすと4(ry

ということで、BaytrailなCeleronを使いたい、そしてルータ/FWのOSとしては注目株のOPNSenseをつかってみるのはいかがでしょうか?

OPNSenseってなに?

OPNSenseはm0n0wallというFreeBSDをベースにしたルータ/Firewallのソリューションアプライアンスの流れを汲みます。
もともとのm0n0wallの開発が終了し、OPNSenseとなったと思っていただければよいかと。m0n0wallからはPFSenseが分家しましたがいろいろ思惑の違いから分家したみたいですね。
もっとも、最近のOPNSenseの設定メニューのほとんどはPFSenseのそれと大差ありません。OPNSenseはPFSenseよりWEB GUI的に進んでいると思っていただければよいかと思います。

詳細な機能についてはこちらを参考にしていただければと思います。(英語ですが。。。)

快適フレッツ生活に必要なもの

1.OPNSenseのインストールメディア
→これはOPNSense本家のサイトからダウンロードするとよいです。

2.早いマルチコアなマシン
→OPNSenseは仮想マシンでも動くのでマルチコアでイケイケなサーバでゴリゴリやるのも楽しそうですが、我が家では電力消費量と性能のバランスからBaytrail-D搭載のCeleronJ1900のマザーボード(AC駆動)+Mini ITXのケースで運用しています。

3.比較的安くないNIC
→蟹(Realtek)はあんまり性能がよろしくなかったので避けたほうがよいかもしれません。
→我が家では固定IPアドレスを複数利用可能なプロバイダにしたため、NIC1枚で2ポートもつNICをヤフオクで安く買いました。複数NICを使う場合はバス幅がx2とかx4で使うことが本来想定されているので上記のAsrockのマザーボードだとPCIEバスの速度が x1のため、スロットを削る必要がでてくるかもしれません。1ポートであれば特に問題無いと思います。

3.英語に耐える気力、根性
→なぜかOPNSenseは日本語で紹介しているサイトが非常に少ないです。英語しかないということで日本人へのハードルが高くなっているのかもしれません。。
しかしながら内容としてはそんなに難しいものはないと思いますのでお手軽に設定して動かすことができるかと思いました。

 

 

ということで、今回のエントリーはご紹介まで。今後のエントリーではセットアップのメモやTipsなどを紹介してみようと思います。