• 日記さん BUFFALOの古いハイエンドルータでOpenWrtを動かす

うちのルータ(BUFFALO WXR-2533DHP2)ではファームウェアとしてOpenWrt 23.05.5を使っていたんですが、

• Buffalo WXR-2533DHP 24.10.0 - OpenWrt Firmware Selector

今朝見ると24.10.0という新バージョンが出ていたので適用してみました。メジャーアップデートです。
(金盾越えに使うZeroTier含めちゃんと動くかわからなかったので、中国行きが2/12だったらこのタイミングではやってなかったと思います。)

旧バージョンとの設定の互換性

LuCIでファームウェアのアップデートしようとすると、24.10.0のコンフィグは23.05.5のと互換性がないということで、設定が全部消えてしまうといいます。

どういう設定を入れたかはメモで残してあるので、思い切ってアップデート。IPアドレスや管理者パスワードから何から全部初期化されました。

Tailscaleのバージョン

OpenWrt 24.10.0にしてみると、インストールできるTailscaleのバージョンが上がっていました。

OpenWrt 23.05.5: Tailscale 1.58.2-1
↓
OpenWrt 24.10.0: Tailscale 1.78.1-1

旧バージョンには気になる脆弱性もあったので、これは助かります。ZeroTierは1.14.1-r1のままで変わってないかな。

ミニPC専用セグメントを作る

• 日記さん Windows11のミニPCを買ってみる

WindowsのPCはいつか乗っ取られるものだと思って使っています。なので、仮に乗っ取られてもダメージが少なくなるよう、ネットワーク的にうちのほかの機器からは隔離しておきたいと思っていました。

でもOpenWrt 23.05.5のときは、ルータに4つある物理LANポートがLuCI上区別されていなくて分離のしようがなかったんですが、OpenWrt 24.10.0ではBridge port設定の中でlan1〜lan4として別扱いされていました。

これならミニPC専用セグメントが作れるかも！

★ミニPC専用セグメントの要件

(1) うちのネットワークにある機器(無線LANおよび物理LANポート1〜3に接続)からは、インターネットにもミニPCにも接続できるようにしたい。
(2) ミニPC(物理LANポート4に接続)からは、インターネットには接続できるようにしたいけど、うちのほかの機器には接続できないようにしたい。
(3) インターネットからは、うちのネットワークにある機器にもミニPCにも接続できないようにしたい。

★ミニPC専用セグメントの設定

LuCI > Network > Interfaces > Devices

br-lanのBridge portsにlan1〜lan4が入っていたのを、br-lanをまねてbr-lan2を作ってlan4(ミニPC用)だけこちらに移します。

LuCI > Network > Interfaces

lanをまねてlan2を作成し、Deviceとしてさっき作ったbr-lan2を指定。別セグメントのIPアドレスを振ります。ファイアウォールゾーンとしてもlan2を新設。

LuCI > Network > Firewall

ファイアウォールゾーンlan2の設定はこんな感じで。

lan2の行のMasqueradingにチェックを入れてあるのは、うちのほかの機器からミニPCに接続したときに接続元IPアドレスを隠蔽するため。

ちなみにMasqueradingのチェック含め、このLuCIのファイアウォール設定の読み方は

• 日記さん GL.iNetの無線ルータで金盾越えのしくみを作ってみる

ここを参照。くせがあって誤解しやすいところです。

そしてInputをacceptにしてあるのは、DHCPでのIPアドレス配布やミニPCからのDNS問い合わせに必要だったから。でも、このままだとミニPCからルータに管理者アクセスもできてしまって危ないので、

LuCI > Network > Firewall > Traffic Rules

ここに

Name: Reject-lan2
Protocol: TCP
Source zone: lan2
Destination zone: Device (input)
Action: reject

こんな感じのルールを入れて別途ブロックしておきます。

これでミニPC専用セグメントが完成しました。