UniFi ルーター機(UDM、UDR 等)でネットワークを構成する際の自分的ベストプラクティスについて記録します。
UniFi OS の初期設定方法や機能単位での設定方法について記載されている記事はよく見ますが、ネットワーク分離を含む利用シーンに合わせた設定方法については掲載記事をあまり見ないため、これから UniFi 導入を行う方々のご参考になれば幸いです。
尚、自身の備忘録メインですし、一部知識不足な箇所(特にファイアウォール)もありますので、抜け漏れや間違い、もっと最適な設定等のご指摘があれば是非コメントください。
ネットワーク構成
プリセットされている LAN ネットワーク(Default VLAN)を UniFi 機器の管理用ネットワークとし、その配下にそれぞれ「業務」「IoT」「ゲスト」の VLAN 及び Wi-Fi を定義していきます。
それぞれのネットワークのアクセス可否については下図の通りです。
※IoT NW → 業務NW は原則アクセス不可にしておき、IoT機器の性質によって部分的にファイアウォールを開けてやる想定です。
初期設定ウィザード
画面に沿って行けば簡単に設定できますし、自身の備忘録的には不要なので割愛します。
※下記サイトがキャプチャ付で分かりやすそうです。
コンパクトで多機能!まさに夢のルーター: Ubiquiti Networks Unifi Dream Router (UDR) レビュー
※初期設定ウィザードはスマホアプリでも可能ですが、以降はWebコンソール(PCブラウザ)にしか項目がないことがあるため、Webコンソールでの設定方法で記載します。
システム設定
Territory or Country/Region
[⚙SETTINGS] > [System] > [Territory] または [Country/Region]
「Japan」になっていることを確認!違っていれば変更しましょう!
デフォルトで「United States」が選択されていたことがあり、Wi-Fi 設定しても繋がらないことがありました。(Wi-Fi の規格違いですかね?)
※理由をご存じの方はコメントください。
プリセット LAN ネットワーク(管理用NW)の設定
プリセットされている LAN ネットワーク(Default VLAN)の IP 体系を変更しておきましょう。
理由:
検証等で1つの拠点に複数の UniFi ゲートウェイを設置したい場合に、UniFi OS の Default VLAN の IP 体系(192.168.1.0/24)がWAN側と被ってしまうのを防ぐため。
※「192.168.1.0/24」配下で初期状態の UDM のセットアップを試したところ、UniFi OS が自動判別して、Default VLAN を「192.168.0.0/24」にしてくれたので必須ではありません。
セットアップ済みの UniFi OS や、他のコンシューマー向けルーター(LAN 側が 192.168.1.0/24 固定)を接続する可能性があれば推奨。としておきます。
[⚙SETTINGS] > [Networks] > [Default]
Network Name:任意(例. LAN – Management)
Gateway:Auto-Scale Network のチェックを外す
Gateway IP/Subnet:192.168.0.1/24
VLAN設定
[⚙SETTINGS] > [Networks] > [ + Create New Network]
※記載していない項目はデフォルト値、または任意項目です。
業務
Network Name:任意(例. v10 – Work)
Gateway:Auto-Scale Network のチェックを外す
Gateway IP/Subnet:192.168.10.1/24
Advanced Configuration:Manual
VLAN ID:10
IoT
Network Name:任意(例. v20 – IoT)
Gateway:Auto-Scale Network のチェックを外す
Gateway IP/Subnet:192.168.20.1/24
Advanced Configuration:Manual
VLAN ID:20
ゲスト
Network Name:任意(例. v99 – Guest)
Gateway:Auto-Scale Network のチェックを外す
Gateway IP/Subnet:192.168.99.1/24
Advanced Configuration:Manual
VLAN ID:99
Network Type:Guest Network
ファイアウォール設定
ファイアウォール設定を行わない場合、ゲスト用ネットワークだけは切り離されていますが、LAN1 と Standard VLAN(業務、IoT)はそれぞれが相互通信できる状態になっています。
セキュリティ強度の低いIoT機器に不正アクセスがあった場合、他のネットワーク(業務LAN)へのアクセスも行われてしまうため、ファイアウォールで守りましょう。
IP グループ作成
まずはデフォルトで許可されている各VLAN間の通信をまとめて遮断するため、Standard VLAN のグループを作成しておきます。
※Guest Network VLAN は標準で Standard VLAN にアクセスできなくなっています。
[⚙SETTINGS] > [Profiles] > [ + Create New Port/IP Group]
Profile Name:任意(例. Standard VLANs)
Type:IPv4 Address/Subnet
Address:192.168.0.0/24(管理用)、192.168.10.0/24(業務)、192.168.20.0/24(IoT)
ファイアウォール ルール追加
[⚙SETTINGS] > [Firewall & Security] > [Create New Rule]
VLAN 間通信の遮断
Type:LAN In
Description:任意(例. drop between Standard VLANs)
Rule Applied:After
Action:Drop
| Source | Destination |
|---|---|
| Source Type:Port/IP Group IPv4 Address Group:Standard VLANs | Destination Type:Port/IP Group IPv4 Address Group:Standard VLANs |
業務 ⇒ IoT の許可
Type:LAN In
Description:任意(例. accept Work -> IoT)
Rule Applied:After
Action:Accept
| Source | Destination |
|---|---|
| Source Type:Network Network:v10 – Work | Destination Type:Network Network:v20 – IoT |
IoT ⇒ 業務(一部)の許可
例. IoT ネットワークから業務ネットワーク内の NAS (192.168.10.100)にだけアクセスを許可する設定
Type:LAN In
Description:任意(例. accept IoT -> NAS (Work) )
Rule Applied:After
Action:Accept
IPv4 Protocol:TCP and UDP
| Source | Destination |
|---|---|
| Source Type:Network Network:v20 – IoT | Destination Type:IP Address IPv4 Address:192.168.10.100 Port:445 ※SMB |
Accept ALL
※ベストプラクティスと言っておきながら、なぜこの項目が必要かはっきりと理由が分かっていません。
ただ、これがないと思った通信ができなかったので、理由やもっと正しいファイアウォール設定をご存じの方がいれば是非コメントください!
ファイアウォール難しい…
Type:LAN In
Description:任意(例. accept all)
Rule Applied:Before Predefined Rules
Action:Accept
| Source | Destination |
|---|---|
| Source Type:Port/IP Group IPv4 Address Group:Any | Source Type:Port/IP Group IPv4 Address Group:Any |
Wi-Fi 設定
まず最初に、初期設定ウィザードで作成した Default VLAN の Wi-Fi 設定は、この構成では不要なので削除しましょう。
[⚙SETTINGS] > [WiFi] > [Create New WiFi]
業務
Name:任意(例. robinson-work)
Passwod:任意(セキュリティ強度の高いものを設定しましょう)
Network:v10 – Work
Advanced Configuration:Manual
Hide WiFi Name:Enable にチェック
※Security Protocol に WPA3 や WPA-Enterprise (RADIUS 認証) の導入が可能ならば検討してください。その辺の認証方式については後日アップできるよう頑張ります。
IoT
Name:任意(例. robinson-iot)
Passwod:任意(セキュリティ強度の高いものを設定しましょう)
Network:v20 – IoT
※シャドー IT の抑止のため、MAC Address Filter を検討するのもありです。
ゲスト
Name:任意(例. robinson-guest)
Passwod:任意(セキュリティ強度の高いものを設定しましょう)
Network:v99 – Guest
Advanced Configuration:Manual
WiFi Type:Guest Hotspot
※今回は設定しませんが、[⚙SETTINGS] > [Profiles] > [Guest Hotspot] で Wi-Fi 接続の認証画面を設定することもできます。
Wi-Fi 設定の注意点
[⚙SETTINGS] > [WiFi] > [AP Site Settings] > [Wireless Meshing] を有効にしている場合、2.4 GHz / 5 GHz それぞれで4つのSSIDまでしか追加できません。
Wireless Meshing とは 物理的に離れた場所や有線LANを敷設できない場所でAPに電源供給のみを行い、コントローラとのネットワーク接続に無線接続を用いる方式。
以上で設定完了です。
他にもカスタマイズしたい箇所はありますが、ベース設定ということでココまでにしておきます。
UniFi ユーザーの皆様、その他ネットワークエンジニアの皆様、ご指摘事項がありましたら是非ともコメントください。
特にファイアウォール設定についてはすべてを理解できている訳ではないので、間違っていたらごめんなさい。
コメント