Ubiquiti(ユビキティ)社より、UniFi Dream Machine SEをご提供いただけましたので、機器の導入手順とUTM機能について解説します。
Ubiquiti社は、ローグレードのエンタープライズ向けネットワーク機器を製造・販売している会社です。最近は、家庭用にも力を入れ始めて製品ラインアップが増えており、WiFiアクセスポイントや統合型ルーターとしては、業界最安値の製品を販売しています。
UniFi Dream Machine SEは、次世代型ファイアーウォール機能が入ったネットワーク基幹用ルーターで、一般的にはUTM装置と呼ばれています。
UTMとは「Unified Threat Management」を略したもので、日本語では「統合脅威管理」あるいは「統合型脅威管理」と呼ばれています。
ファイアウォール、アンチウイルス、アンチスパム、Web(URL)フィルタリング、IDS(Intrusion Detection System/不正侵入検知システム)、IPS(Intrusion Prevention System/不正侵入防御システム)といったさまざまなセキュリティ機能を1つに集約することで、コストの低減を図りながら、システム管理者の負担を下げることができるのがUTMのメリットです。
コスパ最強UniFi Dream Machine SE
IT業界でのUTM製品としては、Fortinet社のFortigateがデファクトスタンダードという状況ですが、いかんせん価格が高いため、一般家庭・個人店舗・中小企業にはなかなか手が出せない製品です。
何しろFortigate FG-100Fは定価60万円(実売は40万円くらい)もしますし、コンテンツフィルタ類のソフトウェア機能はサブスクリプションとして別途有償提供となります。更に年間のサブスクリプション利用料も高額であるため、維持費を考えずに買ってしまうと後悔する製品としても有名です。
UniFi Dream Machine SEは、Fortinet社のFortigate FG-100Fに近い機能と性能を持っているにも関わらず、価格が約9万円ととてもリーズナブルなうえ、UTM機能は標準装備でサブスクリプション設定はありません。コスパは最強です。
(補足)一般家庭用にはDream Routerがおすすめです。上位インタフェースは1Gbpsとなりますが、4x4のWiFi6・PoE給電・UTMまで標準装備です。お値段は、実売3.5万円で家庭用ハイエンドWiFiルーターと大差はありません。
両機種の仕様比較は以下のとおりです。有利な点は赤文字、不利な点は青文字で表記しています。
| 製品名 | Dream Machine Special Edition
(UDM-SE) |
Fortigate-100F
(FG-100F) |
| 外形寸法 | 442.4 x 285.6 x 43.7 mm | 432 x 254 x 44 mm |
| 質量 | 4.95 kg | 3.29 kg |
| 動作温度 | -10 to 40° C | 0 ~ 40 ℃ |
| 消費電力 | 最大50W(PoE給電除く) | 38.7 W |
| CPUコア | ARM Cortex-A57 | NP6XLite (専用ASIC) |
| LANインタフェース | GbE RJ45✕8
(SEモデルはPoE, PoE+対応) |
GbE RJ45✕12
GbE RJ45✕2 (DMZ) |
| WANインタフェース | GbE RJ45✕1
2.5GbE RJ45✕1 SFP+(10GbE) ✕2 |
GbE RJ45✕1
SFP+(10GbE)✕4 |
| コンソールインタフェース | GbE RJ45と共用
Bluetooth |
GbE RJ45✕1(コンソール)
GbE RJ45✕1 (DMZ) シリアル |
| ワイヤレスコントローラ(WLC) | ○:対応(UniFiAPのみ) | ○:対応(FortiAPのみ) |
| ビデオマネジメントシステム(VMS) | ○:対応 | ✕:非対応 |
| ダイナミックDNS | フリーDNSに対応 | FortiGuardに対応
一部有償DDNSにも対応 |
| コマンドライン(CLI)設定 | ✕:非対応 | ○:対応 |
| Firewallスループット | 9.22Gbps *注 | 10Gbps |
| IPSスループット | 3.5 Gbps (iPerf3測定値) | 2.6 Gbps |
| IPS/IDSソフトウェア | ○:ライセンス込み | △:別途有償ライセンス |
| ハードウェア価格 | 約9万円 | 約60万円 |
*注: UniFiコミュニティサイトでのユーザー測定値(iPerf3測定値)
さすがにFortigate FG-100Fにはかなわない部分はありますが、UniFi Dream Machine SEの優れているところは以下の項目です。ビジネス用途としても十分耐えうる性能です。
- 憧れの10Gルーター!:標準は2.5G、10GはSFP+モジュール要
- 性能は業務用レベル:Ubiquiti社ではエンタープライズクラスの表現
- 対応するUniiFi WiFiアクセスポイントが業界最廉価:Forti-APはめっちゃ高い
- ビデオマネジメントシステム内蔵:UniFi VMSカメラも業界最廉価
- UTMソフトウェアが無料!!!:FG-100Fだと年50万円位かかります
個人的に感じたデメリットとしては以下くらいです。少々のネットワーク知識で設定出来るので、個人の努力でどうにでも出来るレベルです。
- 取説などマニュアルがほとんどない:代理店の記事やコミュニティサイトでのQ&Aのみです。ただCiscoとはそれほど大差ないです。
- CLI(コマンドラインインタフェース)に非対応:設定作業はGUIのみです。企業ユースなどの大量導入時は、過去の設定スクリプトが流用できません。SIerとしてはちょっと使いにくいです。
UniFi Dream Machine SEのセットアップ
導入手順について解説します。
手順といってもすべてGUI操作であり、CiscoやIX2215で必要だったコマンドインタフェースの知識は全く不要です。
導入計画
基幹ルーターを交換する場合は、最初に導入計画を行うほうが良いです。今回はONU直下のNEC Univerge IX2215を撤去し、UniFi Dream Machine SEに換装することにしました。
現状のルーター配下のクライアント数は、ピーク時で20台程度です。
以前は家庭用ルーターNEC WG-2600HP3を使っていましたが、推奨処理能力を超えたのでUniverge IX2215に置き換えました。
したがって家庭用ルーターを置き換える場合でも手順は同じです。
従来のネットワーク系統図
今回のネットワーク系統図
ネットワーク製品の導入作業は計画で品質が決まるので、きちんとネットワーク系統図を書いて、作業を開始するようにしましょう。
設定用機材や情報の準備
必要な機材や設定情報は次の4つです。
- PC:RJ-45ポートがあるもの、IPアドレス設定はDHCPにする
- LANケーブル:Cat5e以上
- インターネットプロバイダの設定情報:ユーザー名とパスワードを準備
- UniFiアカウント:UniFi OSの導入設定に必要
UniFi Dream Machineは、UniFi OSというLinuxベースのOS+アプリが動いており、CLIには非対応です。
設定は、LANとBluetoothを使ったGUIインタフェースのみとなるため、PC(Windows, Mac, Linux)またはスマホが必須となります。
設定用のPCは、LAN端子があってWebブラウザが動けばどのような機種でも良いです。普段、有線でルーターに接続しているデスクトップPCでもいいと思います。
スマホアプリで設定するときはbluetoothを使います。ただし、スマホでの初期設定は問題が出たときに解決が出来ないことがあるので、今回はPCでセットアップすることにしました。
UniFiアカウントの作成
UniFi OSは、セットアップ時にアカウント入力が必須となりますので、最初にUniFiアカウントを作ル必要があります。
新規アカウントは、設定中でも作ることは出来ますが、焦ってパスワードを間違うことがあるので、事前にやっておいたほうが近道と思います。(筆者は1度失敗しました)
アカウントはhttps://account.ui.com/registerで作成します。
米国企業の製品のため、すべて英語となりますが、ユーザー名、E-mail、パスワードを入力するだけなので簡単です。
入力を完了して「Create Account」をクリックすると、登録したEメールアドレスにアクチベーションの案内が到来します。指示どおりに入力作業すると、以下のようにサイトに入れるようになります。
設定作業
次はいよいよ設定作業です。
基幹ルーターを交換するため、作業に入るとインターネットが使えなくなりますので、最初に注意喚起を行います。
同居する家族には「XX時までインターネット使えないよ~、スマホはパケ代かかるからYoutubeを見てはだめだよ~」とアナウンスしておきました。
起動とコンソール接続
UniFiの電源を入れて、OSの起動を待ってから、前面パネルに表示されるガイダンスに沿って、WAN端子にONU、LAN端子にPCを接続します。
PCのブラウザのアドレスバーに192.168.1.1を入力すると、UniFi OSコンソールに接続できます。
UniFiの初期IPアドレスは192.168.1.1となっているので注意が必要です。
PCはDHCPにするか、同一セグメントのIPアドレス(192.168.1.4など)で接続するようにします。
途中でプロバイダ情報の入力画面が出ますので、プロバイダのアカウント情報を間違えないように入力するとUniFiがインターネットと接続できます。
そのあとスピードテストを実行する画面がありますが、後で実行も出来ますので、いまは実施しなくても良いです。
以上で初期設定は完了です。
UniFiのアカウントをきっちり作っておけば、家庭用WiFiルーター並みに簡単です。
ファームウェアのアップデート
次にファームウェアのアップデートを行います。
出荷時に入っている古いUniFiファームウェアは、LAN IPアドレスが正しく反映されないバグがあり、1時間くらいハマってしまいましたので、真っ先にアップデートすることを強くおすすめします。
各種ファームやアプリのアップデートは、UniFiのトップ画面で確認することが出来ます。
アップデートは、GUI画面のNetworkアイコンの下に「update」の文字をクリックするだけで、インストールして、必要に応じて再起動までしてくれます。
UniFiをインターネットに繋げない場合、tftp経由でアップデートすることも出来ますが、専門家であないとかなり大変と思うので本記事の解説では割愛します。(tftp経由のアップデートの仕方はこちらを参照)
WAN側の設定
次にWAN側の設定を行います。設定はトップ画面→Network→Internetから行うことができます。
Primary (WAN1)を選択して、以下の詳細設定をします。
ざっと見た感じ、CLIの業務用ルーターと同等レベルの設定が出来ます。
- プロバイダ情報:起動時に入れているので既に反映されています。
- DNSサーバーをチェック:通常はルーターにDNSサーバーを行わせるのでチェックします。
- AdVanced:IPv4の場合はAutoでも可です。IPv6を使う場合はManualで設定が必要です
※注意:UniFiのIPv6はケーブルテレビネットワークなどに使われるPPPoEのみ対応となっています。日本でよく採用されているIPoE方式は対応していませんので注意が必要です。IPoE方式は、後日対応となっているようですが、まだ対応完了となっていません。
筆者のインターネット回線はeo光ですので、DHCPv6によるIPv6で接続しています。ここの設定は少々特殊であるため、設定方法については後日記事にします。
LANの設定
WAN側設定が完了したら、LAN側の設定を行います。
トップ画面→Network→NetwoksでLANインタフェース設定画面に入り、設定したいインタフェース名をクリックします。
VLANを作成していると複数のLANインタフェースが表示されますが、一般人でそこまでする人はレアなので、VLAN設定は割愛します。
Jumbo Framesは、ルーター配下のHUBが対応していることを確認してオンにしておくと、LAN系統内の大容量通信が高速になります。
LANインタフェースの設定画面では以下の内容を変更します。
- UniFiアドレス:192.168.0.1(本体アドレスとGatewayアドレスは同じになるようです)
- DHCP Range:デフォルトは192.168.0.6 - 192.168.0.254(必要に応じて変更)
- IPv6設定:eo光の設定をいれました
有線LAN関連の初期設定は以上です。
すべてGUIで操作できますので、少しのネットワーク知識があれば簡単にできると思います。
UTM機能の設定
UniFiは、WebコンテンツフィルタとIDS/IPS機能のUTM機能が標準実装されています。
このUTM機能を動かすことで、PCやスマホにセキュリティソフト類をインストールしなくともUniFi OSが監視してアクセスさせたくないサイトをブロックします。
Webサイトコンテンツフィルタの設定
この機能をオンにすると、アクセスさせたくないサイトが遮断出来ます。
フィルタレンジは、なし、仕事(work)、家庭(Family)の3ポジションとなります。
- 仕事(work):露骨な成人向け、および悪意のある Web サイトをブロックします。Google はセーフサーチを使用し、YouTube は制限付きモードに設定されます。
- 家庭(Family): VPN だけでなく、露骨な成人向け、悪意のある Web サイトをブロックします。Google はセーフサーチを使用し、YouTube は制限付きモードに設定されます。
フィルタの規則(プロファイル)は、UniFi任せになります。日々アップデートされているようですので、大多数の不適切サイトはブロックできると思います。
この機能をオンにして某サイトへアクセスしてみると以下の表示になります。ルーターでブロックしていますので、クライアント側で回避操作する抜け道もありません。これは素晴らしいです。
IDS/IPS機能の設定
IPS(Intrusion Prevention System)およびIDS(Intrusion Detection System)は、外部の通信の監視および管理者への警告、あるいは不正な通信の遮断を行うためのセキュリティシステムです。
トップ画面→Network→Firewall & Securityで、以下画面で設定します。
検出するカテゴリは、Edit Threat categoriesで詳細に設定することもできます。
ルーターのマシンパワーを使うので、ルーター性能は多少落ちるのですが、元は10Gルーターですので家庭や小規模企業で使う程度では、影響は軽微と思います。
UniFi製品は高コスパで素晴らしい
このUniFi Dream Machine SEは、Ubiquiti Japanさんからご提供を頂いたものなのですが、交換前のIX2215と比べて別次元の機能・性能を持っていることに驚きました。
また製品パッケージもApple製品のような美麗さがあり、設定も超簡単です。疑問に思っていることはコミュニティサイトでも解決できますし、すっかりファンになってしまいました。
WiFiコントローラ+VMSという機器はUniFi UDMくらいしか存在しないと思うので、機会があれば本業でも扱いたいと思うくらいです。
日本国内では、まだまだ解説記事が少ないので、今後リモートVPN、ダイナミックDNS、IPv6設定などを記事にしたいと思います。
