どっちでAzureにつなぐか？　Ubiquiti Networks「EdgeRouter LITE（ERLite-3）」を試す

　Microsoft AzureにS2S（Site to Site）でつなごうという試みの第3弾。今回は、コストパフォーマンスの高さで定評のあるUbiquiti Networks「EdgeRouter LITE（ERLite-3）」を使ってみた。前回紹介したRouterBoard RB2011UiAS-INと比較しつつ、その実力に迫ってみる。

国内で買えれば……

　米Amazon.comでの販売価格は$99.99。3ポートながら、公称1Mpps（packets per second）のパワフルな処理性能と、ソフトウェアルーターとして有名なVyattaベースのエンジンを搭載した有線ルーター。

　それが、今回採り上げるUbiquiti Networks「EdgeRouter LITE（ERLite-3）」だ。

　Microsoft Azureの仮想ネットワークにSite to Siteで接続するためのIPsec VPN機能を搭載した低価格のルーターで、海外ではコストパフォーマンスの高さから個人での使用例も多い製品だ。

　残念ながら、国内代理店が存在しないため、入手しにくく、知名度も低い製品だが、個人輸入サイトや海外のショッピングサイト（Amazon.comなど）を利用すれば、国内からも入手が可能だ。

　今回は在庫の関係で、楽天のアメリカダイレクト経由で購入した。日本円で15350円＋送料1290円＝16640円。$99.99という米国での価格を考えると割高になってしまった。どこか代理店を引き受けてくれる会社があればありがたいのに……、と切に感じるところだ。

Ubiquiti Networks「EdgeRouter LITE ER-3」。低価格ながら高い性能を備えたルーター

初期設定はEth0から

　実際の製品を手に取ってみた印象は、値段なりといったところだ。ケースは樹脂製で、放熱のために上面と底面がメッシュ状に加工されている。

　家庭での利用も考慮してか、ファンレスの静かな製品になっているのだが、稼働させると、本体からの熱で、この時期でもほんのり暖かくなる。海外では、ファンを取り付けて使っている猛者もいるようだが、設置場所によっては、少々、夏場が心配だ。

　ポートは前面にEth0、Eth1、Eth2の3つと、コンソール用が1つが用意されている。構成は自由で、Eth0をWAN、Eth1とEth2をブリッジにして一般的なブロードバンドルーター的に使ってもかまわないし、Eth1とEth2を別セグメントに分けて使ってもかまわない。もちろん、WANを2系統にしてロードバランスさせるといった使い方も可能だ。

正面

背面

上部

底部

　初期設定は、若干、クセがある。標準ではEth0に「192.168.1.1」が割り当てられているものの、DHCPサーバーは無効になっているので、PC側でIPを固定し、設定画面にアクセスする必要がある。

　設定はウィザード形式で可能となっているが、ファームウェアのバージョンによって用意されるウィザードが異なるうえ、S2S VPNの設定も古いバージョンでは用意されないため、最初にファームウェアのアップデートを実行して、最新版に更新しておくことをおすすめする。

　本稿執筆時点の最新版1.6.0では、「Load Balancing」、「WAN+2LAN」、「WAN+2LAN2」の3つのセットアップ用ウィザードが用意されている。「WAN+2LAN」、「WAN+2LAN2」のどちらも、WANポート×1、LANポート×2という構成だが、Eth0がWANポートとなる後者（WAN+2LAN2）で構成しておくと使いやすいだろう。

GUIでの構成が可能。一般的な構成はウィザードで提供される

　設定画面は、トップページにトラフィックが表示されるなど、凝ったデザインとなっている。このあたりは、素っ気ないRouterBoardよりも一見印象はいい。

　しかし、実際に使ってみると、結構、機能が省略されていることに気づく。詳しくは後述するが、IPsec Site to Siteの設定も、一部のパラメーターがWeb UIのSite to Siteの項目では表示されない。

　こういった機能は、「Config Tree」を利用して全機能の一覧から設定するか、CLI用のコンソールを表示、もしくはSSHで接続して設定する必要がある。

　GUIは最低限の設定のみで、いろいろ凝ったことをしようとすると、結局、CLIを使った方が話が早いといった印象だ。

トラフィックがグラフィカルに表示されるなど凝ったデザイン

GUIですべての設定を実行するには「Config Tree」を利用する

Azureにつなぐ

　それでは、Azureに接続してみよう。Azure側の設定や上位にルーターが存在する場合の上位側の設定に関しては、前回のRouterBoardの記事を参考にしてもらうとして、ここではEdgeRouter側の設定のみを紹介する。設定する構成とパラメーターは以下の通りだ。

1.Interfaceの選択

　設定画面から「VPN」タブの「IPsec Site-to-Site」を表示。「Show advanced options」にチェックを付け、「+Add Interface」でWAN側のインターフェイス（Eth0）を選択する。

2.peersの作成

　同画面で「+Add Peer」をクリックし、接続先に必要な情報を登録する。Local IPに関しては、画面は上位にルーターが存在する場合の例となる。PPPoEなどでグローバルIPが割り当てられている場合は、その値を設定する。
　　　Peer：AzureのゲートウェイIPアドレス
　　　Local IP：EdgeRouterのWAN側（Eth0）IPアドレス（PPPoEではグローバルIP）
　　　Encryption：AES-128（AES-256でも可）
　　　Hash：SHA1
　　　DH Group：2
　　　Pre-shared secret：Azureの仮想ネットワークの共有キー
　　　Local subnet：LAN側のアドレス（192.168.1.0/24）
　　　Remote subnet：Azure側のアドレス（10.0.0.0/8）

3.pfsの設定変更

　ここまでの設定で、必要な設定が自動的に構成されるが、唯一、「pfs（Perfect Forward Secrecy：鍵の秘密性を保証する機能）」の値を変更する必要がある。標準では「enable」だが、IKEv1として動作する場合、相手側とEdgeRouter側で値が一致していないと接続に失敗する。Azure側ではpfsを利用しないので、「disable」に変更する。

　pfsの設定は、2の「IPsec Site-to-Site」では表示されないため、「Config Tree」の「vpn」-「ipsec」-「esp-group」-「FOO0」を選択し、「disable」に設定する。

　これで接続可能になるが、GUI画面では接続の確認ができないので、「CLI」ボタンをクリックして以下のコマンドで接続を確認する。

・show vpn ipsec status
　接続が確立されていれば、「1 Active IPsec Tunnels」などと表示される。

・show vpn ipsec sa/show vpn ipsec sa statistics
　接続されていれば、saの情報ややり取りしたデータの容量などを確認できる。

　もちろん、Azureのポータルから仮想ネットワークが接続されていることを確認することもできるし、クライアントからAzure上の仮想マシンにPingを実行するなどして確認してもかまわない。

　接続が成功すれば、ローカルのPCから、Azure上の仮想マシンにpingも通る（Windowsファイアウォールの設定に注意）。

Routerboard vs EdgeRouter

　さて、これで筆者の手元には、Routerboard RB2011UiAS-INとEdgeRouter Liteの2台のルーターが存在することになったわけだが、問題はどちらを実際に使うかだ。

　使い勝手に関しては、一長一短で、CLIライクな構成のGUIを実装するRouterBoardと、ウィザード形式の設定が便利だが一部の機能はConfig TreeかCLIの利用が避けられないEdgeRouterのどちらが好みかという話になる。

　パフォーマンスに関しては、製品のうたい文句通り、EdgeRouterが若干有利だ。以下は、WAN側とLAN側にPCを直結した環境で、iPerfによる速度を測定した結果だ。後述するS2Sのスループット測定のために、より高速なEdgeRouter ER-8も入手したので、この速度も参考として掲載する（これを購入した時点で普段運用する機種は決まってしまったわけだが）。

　EdgeRouter Liteは、NATやファイアウォールの有無にかかわらず、900Mbps以上のスループットを実現できているが、Routerboard RB2011UiAS-INはNATやファイアウォールを有効にすると522Mbps前後にまで速度が低下してしまった。

　一方、EdgeRouter Liteは、設定画面にも警告が表示される通り、Eth1とEth2をローカルブリッジとして設定すると極端に速度が低下する（167Mbps）。この現象は上位モデルのER-8も同様だ。筆者の使い方では、ローカルブリッジを必要としないため、あまり影響はないが、使い方によっては注意が必要だ。

　続いて、VPNのパフォーマンスも計測してみた。以下は、ルーターをVPNサーバーとして構成し、PC（Windows Server 2012R2）から接続した場合の速度と、ルーターを2台対抗させ、Site to SiteでのIPsecの速度を計測したものだ。

　Site to Siteに関しては、EdgeRouter LITEとRB2011UiAS-INよりも確実に高速なルーターを対抗に接続する必要があったため、前述したEdgeRouterの上位モデルである8ポートのEdgeRouter ER-8（2Mpps、実売価格$318.99）を使用した。

　結果を見ると、PCから接続した場合はEdge Router Liteの17.6Mbpsに対してRouterBoardが26.2Mbpsと上回る結果となったが、Site to Siteは逆にRouterBoard（40.5Mbps）よりもEdgeRouter Lite（77.5Mbps）の方が高速な結果となった。

　PC接続でEdgeRouter Liteの値がもう少し高くても良さそうだが、測定環境が影響している可能性も考えられる。

　最後に、実際にAzureに接続した際のパフォーマンスを計測してみた。以下は、各ルーターから、Azure仮想ネットワークに接続後、Azure仮想マシンと自宅側のPCの間でiPerfを実行した結果だ。「iperf -c 10.0.0.4 -t10 -i1」による通常の計測と「-P5」オプションを付けパラレルで転送した際の値を掲載する。なお、今回のiPerfによる計測はすべてウィンドウサイズ64k（標準）での値だ。

　EdgeRouter ER-8の値が高いのは当然として、EdgeRouter LITEでも実行で83Mbpsとかなり高い値が実現できている。小規模な環境であれば、十分、実用に耐えうるパフォーマンスと言っていいだろう。

　Azureに接続するという目的を考えると、やはりSite to Siteが高速なEdgeRouter Liteを選ぶのが妥当と言えそうだ。

参考までにAzure仮想ネットワーク接続時の仮想マシンへのpingの結果。おおむね7ms前後

コンシューマー向け無線LANルーターにもAzure接続機能を

　以上、Azure仮想ネットワークへの接続用としてのEdgeRouter Liteの実力に迫ってみたが、送料を考慮しても2万円以下に収まるルーターとしては、かなり実用的な製品と言って良さそうだ。

　小さなオフィスの環境からAzureを活用するには十分な性能を持っており、設定もある一定の線を越えない限り、GUIで済むため、無理なく利用できる。発熱を考えると、長期間の運用がどう影響するかが課題だが、筆者宅でも2週間ほど無事に稼働している。

　なお、ベンチマークで良好な結果をマークしたEdgeRouter ER-8だが、性能は高いもののラックマウント用の製品となるため、ファンがかなりうるさいので、個人での購入はあまりおすすめしない。

　搭載されているのは40mm×20mm（6000rpm）の通常のファンなので、交換することは可能だが、その場合は保証はあきらめる必要があるし、場合によっては安定動作しなくなることも覚悟する必要がある。

　筆者は、40mm×28mm@2500rpmのファンに交換したが、そのままでは十分なエアフローが確保できなかったので、チップからファンまでダクトを仮組みして、低回転のファンでも効率的に冷却できるようにしてみた。あくまでも自己責任の範囲で楽しんでほしい。

この状態で、アイドル時、稼働時とも、標準ファン＋2度前後で何とか稼働している。あくまでも仮の処置だが、夏場はともかく、今の時期なら何とか運用できている

　とは言え、やはり海外製のルーターを購入するのは敷居が高いので、理想を言えば、国内で販売されているコンシューマー向けの無線LANルーターに同様の機能が搭載されることだろう。

　現状は、Azure上のサーバーを業務や開発に利用するといった用途になるが、将来的にはクライアント（デスクトップ）を利用するようなことも考えられる。そうなったときに手軽かつ高速に接続できる無線LANルーターがあれば、とてもありがたいので、各メーカーには、ぜひ、今後のテーマとして検討してほしいところだ。