TP-Link ArcherC5400 定価:¥59,000-
4月より管理人宅で導入した TP-Link Archer C5400 ルーターについて、2017年4月6日に日本向けファームウェアが更新されたのでファームウェアのアップデートを実施、レビューを追記することにした。導入については、既にレビューそしているので こちらの記事 を参考にしていただきたい。
新ファームウェア 変更点
新ファームウェアにて対応されたバグは、下記の3点のようである。
- WAN IPアドレスが変更されたときにNoIPが更新されないというバグを修正しました。
- アップグレード後にWeb管理ページにログインできないバグを修正しました。
- 自動再起動の問題を修正しました。
また、新ファームウェアで管理ページへの接続も、これまでのログインIDとパスワードによる認証から、Wi-Fi 接続のスマートフォンから設定用アプリ tplink Tether 経由でメールアドレスを登録し、メールアドレスとパスワード、ルーター側に登録した端末(MACアドレスの照合)からの設定変更を行う為、外部からのルーターへの設定変更等に対する攻撃に対して、セキュリティ上より強固な認証となった。
一般的なルーターのセキュリティ |
外部からの侵入 |
TP-Link Archer C5400のセキュリティ |
|
|
|
外部(インターネット等)からの悪意ある攻撃に対し、ルーターやセキュリティソフトに備わるファイアウォールが一定の防御をしてくれている。 |
外部からウィルス、キーロガー、マルウェア等を侵入させ、ルーターやファイアウォールの機能を停止させた後、家庭内ネットワークからのデータ送信や匿名サーバー化し中継点として利用されます。 |
Wi-Fi子機からの接続で設定・メールアドレスによるクラウド認証(MACアドレス照合)を行う為、ルーターのセキュリティ設定等を書き換えられるリスクに対し、セキュリティ上優位である。 |
機能拡張・更新点
新ファームウェアに更新し、Wi-Fi 接続のスマートフォンから設定用アプリ tplink Tether 経由でTP-LINK IDを取得後、メールアドレスとパスワードで再度ルーターの設定を行った。TP-LINK クラウド経由でのログイン及びルーター管理となったことで、新たにTP-LINK クラウドという設定項目が確認できた。TP-LINKクラウド項目では、ルーター管理者として登録したメールアドレスが確認できる。
TP-LINKクラウドにアクセスしてみると、どうやらWEBカメラのコントロールを含めたサービスが利用できるようだ。
また、DDNSとしてTP-LINKの項目が増えていた。
管理人宅LAN再構築
新ファームウェアに更新されたことから改めて、管理人宅のネットワークを再構築する事にした。というのも、管理人宅はフレッツ光を利用しているのだが、クライアント台数の増加に伴い、ネットワークの切断が頻繁に起こるようになったためだ。そこで、NTTよりレンタルしているホームゲートウェイの通信ログを確認してみると、TX-ERROR という下記のログが複数記録されている。どうやら、接続台数や利用するWEBサービスが多いことにより、ホームゲートウェイのNAT溢れと呼ばれる現象のようだ。PR-400NE では、この手のエラーが頻繁に起こるようでネット上で検索するとかなりの約2,200件もヒットした。
TX-ERROR ログ(IP等は書換ています) |
2017-05-15 12:00:00 nat – 3.ntc: TX-ERROR List Create Error : UDP 192.???.255.15 : 1029 > 132.157.???.255 : 53 (IP-PORT=WAN) |
NAT溢れ 対処法
NAT(ネットワークアドレス変換)溢れとは、機器のNATテーブル上限に達することにより、新たなNATができなくなる現象のことで、NATテーブル数を多数利用する通信を行うこと(複数のSkype等を同一ネットワーク内で利用等)により発生する。対処方法は、
- ホームゲートウェイのSPI設定で、TCP/UDPポート毎のセッションタイマー数値(初期値は300→最小30)を減らす。NATテーブルの保持時間を最小化することで、不要となったNATテーブルを開放し、新たなNATを利用できるスペースを作る方法
- ルーターを交換する。
と、あまり選択肢は多くない。そして、 フレッツ光の内線子機機能を利用 するためにやむを得ずPR-400NEのルーター機能を使用していたのだが、インターネット接続が切れるのでは意味がない。
TP-Link Archer C5400 ルーター機能を再設定
インターネット接続が切断されないためにもNAT溢れ対策を実施した。前述の対処法1に挙げた、SPI設定のセッションタイマー数値を最小の30設定にしてみたが、効果はなく切断される端末が複数発生した。この時点で、新ファームウェアとなった C5400 のルーターを利用するため、内線子機機能を利用する方法を模索した結果、下記の手順で内線子機の利用とC5400のルーターモードで利用することができた。
- PR-400NE 設定 で 手動IP設定を割り当てた(例:192.168.10.1)後、DHCPサーバーを停止。
- PR-400NE の設定でプロバイダ接続設定のID、パスワードなどの設定を消去する。
- TP-LINK Archer C5400 を PR-400NEに接続し、C5400 の PPPoE 接続設定(プロバイダ接続設定)を行う。
- PR-400NE に アクセスポイントとしてATERM WR8750Nを手動割当IP(例:192.168.10.2) 設定として接続し内線子機端末を Wi-Fi接続(WR8750N)する。
- 内線子機端末のWi-Fi設定で手動IP(例:192.168.10.3) 設定をする。
- PR-400NEに設定用PCを手動IP設定(例:192.168.10.10)で接続し、PR-400NEの設定ページへログイン。内線子機のペアリングを行う。
インターネットに接続する必要のあるPCやスマートフォン用のネットワークとVoIP音声通話内線用のネットワークを分離することで、内線子機の利用(音声通話発着信)とインターネット接続機器の相互利用ができるようになった。
まとめ
TP-Link Archer C5400 は 2016年9月27日の初期ファームウェアから第2版 Archer C5400(JP)_V2_170406 となったことで、TP-LINK クラウドとの連携も可能となりセキュリティ的に大きく向上したといえるだろう。Wi-Fi子機端末からの設定にすることで、Wi-Fi のクライアント認証 に加えて、MACアドレスを登録したクライアントからのみルーターの設定変更を可能にすることで、ルーター自体の乗っ取り等に対処できるはずだ。
また、 管理人宅の NTTフレッツ光 レンタルの PR-400NE では40台程度のネットワーク接続クライアントにより、NAT溢れが発生しインターネット回線の切断が頻発した。TP-Link AC5400では、NAT溢れとみられる症状が発生していないことから、推奨接続台数64台に耐えうるNATテーブルを持っていると推測される。
2017年は無線通信の新製品であるWi-Gig(802.11ad)対応製品が発売される見込みとなっている。一方で、対応するクライアントも2017年発売のハイエンドスマートフォンで今後サポートされる(Snapdragon 835等)が、インターネットの接続回線が現状1Gbps(一部で10Gbpsサービスもある)しか出ない事や、Wi-Gig対応製品は6万円程度の予価であることから、時期尚早といえる。むしろ、家庭内で複数台の無線LAN親機を運用している方は、AC5400 に乗り換えることで電波カバーエリアが広がり、無線周波数の混信を避け、より快適な無線通信ができるのではないかと考える。(管理人も4台の無線親機から、C5400 へ交換したことで親機の削減=帯域確保に一役貢献したと思っている。)