bisonicr keep walking.

ガジェット好きのおっさんによる、趣味的レビュー。ちょっとイイけどお買い得、そんなアイテムに目がありません。

Cisco 841M/JルータでCisco VPN Client(IPSec)のホスト設定をする

このエントリーをはてなブックマークに追加 Clip to Evernote
image


■Cisco 841M/Jがやって来た

シスコのISRルータシリーズのエントリーモデルに「Cisco 841M J」シリーズがラインナップされました。
この機種は「Cisco Startシリーズ」としてこれまであまり対象にしていなかった小規模用途にも対応したモデルになります。2年保守付きモデルのオンライン販売もされており、その気になれば個人にも手が届く商品になっています。これまでCCNA取得のために中古の機械をオークションなどで入手していた人や、ヤマハのルータではちょっと物足りなさを感じる人にも絶好のモデルではないでしょうか。
特に、IPSecでの高速リモートアクセス環境を構築する向きにはたいへん最適なモデルと思います。
image
というのも、Cisco IOS搭載ルータは単にIPsecのVPNに対応しているだけでなく、他商品で一般的な「VPN接続数」の制限はなく、CPUやメモリの処理能力で推奨数が決められているだけなので、上位モデルのCisco 891FJ並みの処理能力をもつ841MJならかなりの高速リモートアクセス性能が期待できるはずなのです。



■インターネット接続はGUIでお手軽設定

もちろん、ふつうにCiscoルータをさわってる人からすれば、別に悩むところではないわけですし、CCNA取得を目指すような人はむしろそういうものぐさな手法は避けるべきですが、このルータが新たにターゲットにする大多数のユーザはお手軽なほうが良いに決まっているとおもいます。

というわけで、ルータの電源を投入し、LAN側にDHCPでPCを接続すると勝手に10.10.10.2/25とかのアドレスが割り当てられます。
あとはブラウザで「https://10.10.10.1」へアクセスすれば、設定画面にアクセスできます。
初期パスワードはユーザ名「cisco」、パスワード「cisco」。
こちらはワンタイムになっているため、ログイン後すぐに変更が必要です。あとは「クイックセットアップ・ウイザード」を起動し適当に設定していけば、インターネット接続は完了。
ラクチンですね。

5520

この辺の詳しくはCiscoのサイトを参照ください。→ Cisco Start ルータ 設定情報(cisco.com)
なお、ウイザードをすすめる際、FW設定はデフォルトのまま入れずに進んだ方がいいようです(必要なら後でもできますので)。


■Cisco VPN ClientによるIPSecリモートアクセス
Ciscoではリモートアクセス環境を「Any Connect」へ移行を促すため、直接のサポートは終了しているものの、IPSecのリモートアクセス環境「Cisco VPN Client」はいまだ最も利用されているリモートアクセス環境のひとつです。

特にiPhone/iPadなどのiOSデバイスでは最も初期の段階からIPSecのVPNクライアントとしてCiscoのクライアントを標準で内蔵しています。

またMacでもMac OS X Lion以降のバージョンでは同様に標準で搭載をしています。

残念ながら公式サポート終了にあわせてWindows版はすでにcisco.comサイトでのサポート契約者向けダウンロードは終了しています。以下に最終バージョンのWindows版クライアントのファイル名を記載します。
Windows 7 32bit  「 vpnclient-win-msi-5.0.07.0410-k9.exe
Windows 7 64bit  「 vpnclient-winx64-msi-5.0.07.0440-k9.exe

また、必要な方はWindows版クライアントのWindows 8/8.1/10へ対応させる方法について、および互換クライアントについての紹介については過去記事のほうを参照ください。


iPone/iPadでは、「設定」アプリの「一般」の「VPN」で「VPN構成を追加」をクリックし、「タイプ」を「IPSec」にします。
8e483930
この設定画面の①~⑤の内容をルータで設定すればいいわけですね。


■Ciscoルータのコマンド設定のキホン
ここから先はGUIではなくコンソールをつかいます。
ルータの「CONSOLE」ポートにシリアルケーブルを接続するか、Tera TermなどのターミナルソフトでTelnetで接続します。
1746

コンソールの場合はユーザモードのため(プロンプトが「>」マーク)、「enable」コマンドで特権モード(プロンプトが「#」)に移行します。Telnet接続の場合、最初から特権ユーザでログインしているのでenableは不要です。

特権モードで現在の設定を確認するときは
show running-config」(省略形「sh run」)

設定を保存するときは
write memory」(省略形「 wr mem 」)

そして設定モード(設定を入力できるモード)へは
configure terminal」(省略形「 conf t 」)
設定モードの終了は
end
で特権モードに戻ります。

設定モードで、入力した設定を削除する場合は、削除した行の頭に「no」をつけて再度入力すことで削除できます(項目によっては行の内容すべてを入力しない場合もあり)。
これらは入力途中(単語単位)で「」をいれてEnterすれば以降入力可能なパラメータを教えてくれます。

だいたいこれくらい知っていれば最低限、設定はできますね。
とりあえず「 conf  t 」で設定モードに移行し、リモート設定を登録します。


■MyDNS.jpを利用したDDNS設定
WAN側のIPアドレスが固定IPの場合は、上記「①サーバ」アドレスはそれを入力ればいいわけですが、動的IPの場合はアドレスが変動するため、DDNS(DynamicDNS)を登録します。
ここではMyDNS.jpサービス(無償)を利用した場合の設定例です。
あらかじめ「MyDNS.jp」でアカウント登録をして「Master ID」と「Password」、あと登録した「ホスト名(DNS名)」を確認・設定しておいてください(MyDNS.jpの設定方法は割愛します)。
ルータ側での設定内容は以下を参考にしてください。
ip ddns update method mydns
 HTTP
  add http://MasterID:Password@ipv4.mydns.jp/login.html
  remove http://MasterID:Password@ipv4.mydns.jp/login.html
 interval maximum 7 0 0 0

interface Dialer1 ← PPPoEの場合
 ip ddns update hostname 登録ホスト名.登録サブドメイン名.mydns.jp
 ip ddns update mydns

これで「登録ホスト名.登録サブドメイン名.mydns.jp」が「①サーバ」アドレスになります。


■Cisco VPN Client用のリモートアクセス設定
設定は以下を参考にして入力してください。
この設定例ではLAN側が「192.168.1.0/24」、PPPoEでのインターネット接続の場合です。
※追記: 
当初登録箇所のみを表記していましたが、新たに「クイックセットアップウィザード」で初期設定後にリモートアクセスVPN設定を追加した設定全体に記載内容を変更し、リモートアクセスVPN用の登録部分を太字表記にしました。


!
hostname cisco841mj ←(初期設定)ホスト名
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
aaa authentication login default local
aaa authorization network VPNCLIENT local
!
!
aaa session-id common
ethernet lmi ce
clock timezone GMT 9 0
!
省略
ローカル証明書など
!

!--DHCPサーバ設定---
ip dhcp excluded-address 192.168.1.1 192.168.1.100
ip dhcp excluded-address 192.168.1.150 192.168.1.254
!
ip dhcp pool ccp-pool
 import all
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 192.168.1.1
 lease 0 7
!--
!
!
!
ip domain name domain.local ←(初期設定)ドメイン名
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
parameter-map type inspect global
 max-incomplete low 18000
 max-incomplete high 20000
 nbar-classify
!
multilink bundle-name authenticated
!
license udi pid C841M-4X-JSEC/K9 sn シリアルナンバー
!
!
object-group network local_lan_subnets
 192.168.1.0 255.255.255.0
!
username admin privilege 15 secret 5 **** ←(初期設定)ログインパスワード
username ④アカウント名 secret ⑤パスワード
!
redundancy
!
!
!
!
no cdp run
!
!
crypto ctcp port 10000 ← 「Cisco VPN Client」でTCP接続を可能にするオプション
!
crypto isakmp client configuration group remote1 ←「remote1」が②グループ名
 key ③シークレット
 pool POOL1
 acl 100
 save-password ←パスワード保存を許可
 netmask 255.255.255.0

crypto isakmp profile IKE-VPNCLIENT
   match identity group remote1
   client authentication list default
   isakmp authorization list VPNCLIENT
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
 mode tunnel
!
crypto ipsec profile IPSEC-VPNCLIENT
 set transform-set ESP-3DES-SHA1
 set isakmp-profile IKE-VPNCLIENT
!
!
!
!
interface GigabitEthernet0/0
 no ip address
!
interface GigabitEthernet0/1
 no ip address
!
interface GigabitEthernet0/2
 no ip address
!
interface GigabitEthernet0/3
 no ip address
!
interface Dialer1
no shutdown
description PrimaryWANDesc__GigabitEthernet0/4
ip mtu 1452
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp mtu adaptive
ppp ipcp dns request
dialer idle-timeout 120
dialer fast-idle 20
no ip address
ip address negotiated
ppp ipcp dns request
ppp authentication pap callin
ppp pap sent-username プロバイダ接続アカウント password 0 パスワード
exit
!
interface GigabitEthernet0/5
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 ip unnumbered Dialer1 ←回線I/F名(この設定の場合「Dialer1」を指定)
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-VPNCLIENT
!
interface Vlan1
 description $ETH_LAN$
 ip address 192.168.1.1 255.255.255.0
 ip nbar protocol-discovery
 ip flow monitor application-mon input
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1314 ← MSS値の設定(フレッツなどのPPPoE回線の場合)
 load-interval 30
!
ip local pool POOL1 192.168.1.241 192.168.1.249 ←割り当てアドレス範囲を指定
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list nat-list interface GigabitEthernet0/4 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/4
!
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
 deny   ip any any
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 any  ←「192.168.1.0/24」へのみVPNを経由
!
!
control-plane
!
!
banner exec ^C
省略(接続時バナー)
^C
banner login ^C
省略(ログイン時バナー)
^C
!
line con 0
 no modem enable
line vty 0 4
 privilege level 15
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 transport input telnet ssh
!
scheduler allocate 20000 1000
!
end
上記回線設定の中では回線の種類によってはMTU値に合わせて特にMSS値について設定が必要です。
こちらについての詳しくは「MTU/MSS値の計測とCiscoルータでのVPN設定についての備忘録」を参照ください。

あとは「write memory」で設定を保存し、上記で設定した内容を①~⑤の内容をiOSデバイスなどのクライアントに登録することでリモートアクセスが可能になります。

Cisco 841Mの設定自体は上記の通り、製品情報の設定ページに説明がありますが、他にも個々の機能については検索してもらうと結構いろいろドキュメントがあります。

またうまくいかなくなったら、設定を初期化してやり直すのが手っ取り早いでしょう。
その場合、一般的な「write erase」だけだとGUI環境の初期設定も消えるため(余計な初期設定はむしろ邪魔、というCiscoエンジニアも多いので^^)、環境を戻したい場合は、上記設定ページの「リカバリ&初期化ガイド」を参照してください。ここのスライドの12ページ辺りから初期設定に戻す方法を説明しています。

Apple MusicのAirPlay再生で「AirMac Express」が最強の理由

このエントリーをはてなブックマークに追加 Clip to Evernote
image


■選択肢の限られる既存オーディオ用の「AirPlay」レシーバー

Apple Musicをスピーカーでより高音質で再生したい、という用途を考えた場合、やはり「AirPlay」を使用することが最も効果的であることは間違いがないでしょう。
imageしかし、Bluetoothの再生環境と比較し、やはりAppleの依存度の高く、Wi-Fi を利用するため単独で解決できない(Wi-Fiルータやアクセスポイントなどネットワークとの組み合わせが必須になる)ことから「お手軽」とは言い難いようです。AVアンプやアンプ内蔵スピーカー製品にはAirPlayに最初から対応している製品を各社リリースしていますが、既存のオーディオに接続するレシーバーとなると非常に選択肢が限られるのが現状です。

そんななかでAirPlay対応機器の定番としてはやはりApple純正の「AppleTV」が挙げられることが多く、新型AppleTV(第4世代Apple TV)では搭載されるtvOSがApple Musicにも対応しました。いっぽうで新型では廃止されたS/PDIF光オーディオ端子を従来型のAppleTV(第3世代)では搭載していることから、これをAVアンプやDAC(特にハイレゾへのアップサンプリング機能を持つTEACの製品など)に接続して利用するのがオーディオ的には最強、という記述も見受けられます。

ちなみにS/PDIFでのPCM音源のアップサンプリングはTEACのUD-501UD-301などのモデルのほか、Pioneer U-05Fostex HP-A8などの同様の価格帯のモデルやLuxmanの高級DACなどに搭載されています。

しかし、どうせ高音質なアンプやDACに接続するのであれば、実は現行のApple製品には、よりオーディオに特化し、AppleTV(第3世代)より高音質で安定したAirPlay再生が可能な機器が存在します。
それが「AirMac Express」です。


■AirPlayオーディオレシーバー専用機にもなる、AirMac Express
通常「AirMac Express」は11n対応のApple純正の無線LAN対応ルータとして販売されていますが、同時に「オーディオのみのAirPlay対応」をしており、外部出力にはS/PDIFとステレオミニピン端子兼用のオーディオ出力をもっています。つまり、光端子ケーブルはもちろん、普通のオーディオケーブル(ミニピン-RCAなど)でオーディオ機器に接続することが可能です。また、ルータ・無線LANアクセスポイントの機能を無効にして、AirPlayレシーバー専用機として設定することも可能です。

imageなにしろ元が無線LAN対応ルータ・アクセスポイントですのでAppleTV同様に有線のLANポートも装備しています。ここへ既存のルータやスイッチングHUBと有線LANで接続することはAirPlayを安定動作させるうえで欠かせないポイントです(後述)。
さらに同じネットワーク環境でも、Apple TVをAirPlayレシーバーとしてオーディオに接続した場合と比較して、より安定して接続し、長時間再生でも問題がないなど多くのメリットを感じることができました。
なお、音質面については、例えば同じS/PDIFで接続した環境でAppleTV(第3世代)と比較してもより高いS/Nと再現性をもっているようです(個人的な感想ですが)。

※追記:その後確認してみたところ、Apple TV(第3世代)からS/PDIFの光出力でAirPlay再生すると44.1kHzの音楽データも48kHzにコンバートして出力されていました。これが音楽専用のAirMac Expressの場合は44.1kHzのままS/PDIF出力されます。アップサンプリングというと聞こえが良いですが、ここでは下手にサンプリングレートをいじらず元の音のままダイレクトに出力できるAirMac Expressの方が音質的に有利だと言えますね。
imageimage
上記の写真では同じApple MusicからのAirPlay再生で、写真右上のS/PDIF入力対応のDAC(CHORD Mojo)の左側のLEDがApple TVはオレンジ(48kHz)、AirMac Expressではレッド(44.1kHz)で再生されているの確認できます。

また第4世代のApple TVはHDMI出力のみですので、HDMIからS/PDIF出力をセパレーションさせる機器を経由する必要があり、そのような機器を持っていないので未確認ですが、所有する第4世代Apple TVをHDMI経由でAVアンプにつないでいる限りでは強制的に48kHz化される仕様は変わっていないようです。

※追記: 写真のCHORD「Mojo」との連携については新しい記事で紹介しました。

「FiiO L19」ほか、“Mojoと愉快な仲間たち(接続デバイス)”まとめ

AirMac Expressでは、S/PDIFでの接続の場合3.5mmピン形状の光ケーブルが必要になりますが、両方角形コネクタの光ケーブルに変換アダプタを経由させる方法も手軽です。上記のようにアップサンプリング機能を持ったDACへ接続するパターンももちろんありますが、通常はプリメインアンプなどのS/PDIF入力に接続するのが一般的でしょう。ただ、この場合もアンプなどのDAC性能によっては、AirMac ExpressをS/PDIF接続よりステレオケーブルでオーディオと接続した方が良い結果を得られる場合も多くあります。いろいろなアンプやスピーカーで自分の耳にあった接続方法を探してみるのも楽しいものです。

このように、ステレオケーブルでオーディオと接続できるApple純正のレシーバーは現在AirMac Expressのみであり、さらに専用機になるという点で、現在使用しているさまざまなオーディオ環境に手軽にApple Musicを加える手段として最も理想的かつ唯一の選択肢と言えるのではないかと考えています。


■「AirPlay」がより高音質な理由
ところで、そもそもなぜBluetooth等と比較してAirPlayが高音質といわれますが、その理由は「無劣化」であるから、ということに尽きるでしょう。
Bluetoothではオーディオ機器で使用するプロファイルであるA2DPで標準のSBCはもちろん、より高音質のAACやapt-X、さらにはハイレゾ対応のソニーのLDACも含め、すべてデータを圧縮(不可逆圧縮=多少は劣化する)して転送するプロトコルを採用しています。
いっぽうWi-Fi(LAN)を前提としているAirPlayでは内部ではALAC(Apple Lossless Audio Codec)という可逆圧縮(=劣化しない)手法で転送しています。これはiTunesでCDをインポートする際に選択できる「Appleロスレス」と同じ形式で、AirPlayでは無劣化転送が可能です(ただしハイレゾには未対応)。

そのため、iPhone/iPadからAirPlayでApple Musicを再生する環境は、Bluetoothでの再生より確実に高音質なのはもちろんのこと、MacやWindowsマシンを直接オーディオに接続し、iTunesから直接再生する環境と比較しても、オーディオへの接続方式などの関係で、AirMac Express経由でのAirPlayのほうが高音質になる場合も多くあります。

そのため、私はMacからiTunesで再生する場合も、再生先をAirPlayでAirMac Expressを経由するようにしています。


■Wi-Fi環境こそが「AirPlay」の鬼門
ところが、AirPlayで実際にApple Musicを使ってみると、同じ環境でBluetoothのレシーバーを経由したり対応スピーカーを使ったほうが音が良かったり、AirPlayでAppe Musicをストリーミングすると音が途切れ途切れになってしまったりするなどのトラブルに遭遇してうまく使えないことがあります。

これらのトラブルの原因はAirPlay対応機器の処理能力以外では、Wi-Fiのネットワーク環境そのものにあると考えてまず間違いがありません。
Wi-Fiは最新のIEEE802.11ac規格であっても、結局はシェアードネットワーク(機器間の同時通信が増えるとひとつの通信が遅くなる)仕様であるため、法人向けの高性能な機器以外では、経路上を機器をすべてWi-Fiで接続すればそれだけWi-Fiルータ機器などの負荷が大きくなり、安定性に影響します。

また市場に存在するAirPlay対応機器は11n(2.4GHz帯)までの対応のものがほとんどです(AirMac ExpressもWi-Fi接続時は11nまたは11aが最大)。

Apple Musicではインターネット経由のストリーミングと機器間のAirPlayが同時に行われるため、iPhoneの中にダウンロード済みの音楽データをAirPlayで再生する場合と比較すると、Apple Musicのストリーミング再生は明らかにWi-Fiネットワークに負荷がかかっている状態になります(ここでの負荷とは、AirPlayレシーバーなどのWi-Fi機器の負荷と、場合によってはWi-Fi通信を行う電波帯域そのものを指します)。

そのため、最低限レシーバー(AirMac ExpressやApple TVなど)は有線LANで接続し、Wi-Fiの経路を少なくすることでネットワークを軽くすることがApple Musicのストリーミング再生では重要になってきます。あくまで負荷軽減が目的ですので、有線LANポートが100Mbpsまでの対応でも十分です(実際AirMac Expressも第3世代Apple TVも有線LANは100BASE-TXまでの対応)。

具体的には、AirMac Expressは有線LAN経由でのAirPlayレシーバー専用で使用し、再生デバイス(iPhone/iPadなど)からのWi-Fi接続は11ac(5GHz帯)に対応したより高速なアクセスポイントから接続させることで機能を特化させて安定した通信を行うわけです。

image昨今ではどこの家庭やオフィスでもWi-Fiは当たり前で、2.4GHz帯の電波は至る所に飛び交っていて、チャネル干渉による帯域の減衰も以前とは比べものにならないレベルと思われます。いっぽう高速な11acは家庭・事務所などの屋内専用の5GHz帯は干渉が少なくより安定した通信ができます。

私の場合、福井の自宅ではAirPlay環境として映像用でApple TVを2台(2部屋で)使っていますが、同時にAVアンプ(Pioneer VSA-922)とAirMac Expressをオーディオ用に、東京でもオーディオ用にAirMac Expressと映像用にFireTV(アプリでAirPlay対応化)で利用し、どちらも有線LANでスイッチングHUBに接続・集約したうえで高速な11ac対応のアクセスポイント専用機を併用しています。



■AirMac ExpressをAirPlayレシーバー専用機として設定する方法
imageまず「AirMac Express」をネットワーク(LAN)に「有線(LANケーブル)」で接続します。
私は「⇔」ポートに差していますが、初期設定時は「○」のポートのほうが良いようです(AirPlay専用機に設定後はどちらにつないでも大丈夫)。
私は「AirMac Express」を福井と東京の両方で使っていますが、福井ではオーディオ出力は「CarotOne」につないでいます。そのためミニピン→RCAのステレオケーブルを使用。


image「AirMac Express」をはじめAppleのWi-Fi製品は設定でiOSデバイスまたはMacが必要になります。今回AirPlayを考えている時点で最低iPhoneまたはiPadはあるだろうと思います。
iOSの場合、あらかじめ「AirMacユーティリティ」という専用アプリをインストールしておく必要があります。Macの場合はアプリケーションフォルダの「ユーティリティ」の中に「AirMacユーティリティ」があらかじめ入っていますので、そちらを使用します。



Wi-Fiでつながっている環境でAirMacユーティリティを起動すると、ネットワーク画面でAirMac Expressを検出します。私の環境ではAirPlayで再生環境がわかりやすいように本体名称を接続している「CarotOne」にしています。
imageimage

imageimage
設定画面で、AirPlayのみ設定し、「Wi-Fiのモード」をオフ(アクセスポイントとして動作しない)、「ルータモード」をオフ(ルーターとして動作しない)にすることで、晴れてAirPlayレシーバー専用機になります。

これで、iPhoneをWi-FiにつないでAirPlay経由でいつでもApple Musicを楽しむことができます。
imageAppleTVの場合、しばらく使用していないとスリープ状態になるため、AirPlayの選択肢になかなか表示されず、いちどリモコンのMenuボタンでスリープを解除してやる必要があります。しかしもともとルータ・アクセスポイントの「AirMac Express」は基本いつでもON状態なので(消費電力的にはともかく)、AirPlayに出てこない、というストレスはまず感じないでしょう。

「AirMac Express」はAppeTV(第3世代)より3000円ほど高い「旧製品」になりますが、今後Appleから後継商品が発売されない可能性もありますので、オーディオ用にぜひとも確保しておきたい製品だと思いますよ。

プロフィール(Twitterアカウント)
カフェで息抜きにイヤホンとかのブログ書いてます。Apple好きのおっさん。食べるのも好き。普段のお仕事はIT屋。自宅は福井県ですが都内で単身赴任してます。ポタオデは趣味で出張のお供。美音系/モニター系の音が好みです。自宅ホームシアターもそろそろ改造したいな。
※ご意見・ご質問などはコメント欄にてお願いします。
レビュー依頼等は bisonicr.keep.walking@gmail.com までお願いします。内容を確認の上ご返答申し上げます(返信の無い場合はご了承ください)。




記事検索
カテゴリ( [+] を押すとサブカテゴリを表示)








最新コメント