Shirankedo NOCで見えてきたeduroam/OpenRoaming運用ノウハウと課題 - BAKUCHIKU BANBAN #2

Transcript

1. Shirankedo NOCで見えてきた eduroam/OpenRoaming 運用ノウハウと課題 吉川 知輝 京都大学大学院情報学研究科修士1年 10/7 BAKUCHIKU BANBAN

   #2

2. 自己紹介 • 吉川 知輝 (Tomoki Yoshikawa) • 所属 • 京都大学大学院

   情報学研究科 通信情報システムコース1年 • インターネット・セキュリティの研究 • Home NOC Operators’ Group 運営メンバー (AS59105) • ピアリング/バックボーンネットワークの設計と構築 • 京大マイコンクラブ (AS59128) • バックボーンや仮想化基盤の構築・自動化・運用 • 趣味 • 釣り、アニメ、野球

3. 発表概要 3度の会場NOCでのeduroam/OpenRoamingの運用経験からの 知見の共有 これを聞けばeduroam/OpenRoamingの提供ができる！ とも言い切れず… 不明点・課題点もあり、有識者にぜひ教えていただきたい 3

4. 目次 • Team Shirankedoとは • eduroam/OpenRoamingとは • 会場NOCでeduroam/OpenRoamingを吹くまで • 運用上の課題

   • 質問タイム 4

5. Team Shirankedo • ざっくり言うと「関西のbakuchiku」 • 「失敗してもOK。なんか上手く行ったわ、知らんけど。」 • 参加学生は25人ほど • https://www.facebook.com/p/Team-Shirankedo-

   61575682628799/ • 特徴 • 関西の学生の育成を目的としている • 関西の学生の発掘も目的としている Facebookへのリンク 5

6. 活動実績 NaniwaNOG 2 Meeting (2024/10/10) • 参加者250人 • NOC8人(大人2人+学生6人) Internet

   Week ショーケース in 奈良 (2025/7/2,3) • 参加者150人 • NOC12人(大人2人+学生10人) NaniwaNOG 3 Meeting (2025/8/29) • 参加者250人 • NOC11人(大人2人+学生9人) 6

7. 目次 • Team Shirankedoとは • eduroam/OpenRoamingとは • 会場NOCでeduroam/OpenRoamingを吹くまで • 運用上の課題

   • 質問タイム 7

8. eduroamとは • 教育・研究機関の間でキャンパス無線LANの相互利用を実現す る世界規模のローミングサービス • 欧州TERENA（現GÉANT）が開発・運用 • 2002年開始、日本は2006年から参加 • 現在世界106か国で運用

   • 日本では国立情報学研究所(NII)が「eduroam JP」として運用 • 450以上の大学・機関が参加 • IEEE802.1X/EAP/RADIUS • 基本的なコンセプトは共通SSID “eduroam” によって同一ID で自動的に認証・接続 8

9. RADIUS Proxying - eduroam 9 Service Provider(SP) Access Points Mobile

   Nodes Identity Provider(IdP) RADIUS Each university or organization Federation Level RADIUS Each country or region Top Level RADIUS Europe, Asia-Pacific, … kyoto-u.ac.jp univ A Roaming [email protected] JP AU

10. OpenRoaming • 安全でシームレスなグローバルWi-Fiローミングを実現するた めの国際的な枠組み • WBA(Wireless Broadband Alliance)が主導 • 2020年3月開始

    • 日本はCityroamが2020年11月にImplementorとして参加 • 国内初のOpenRoamingサービスを開始 • eduroam+シームレスな自動接続のための技術(Passpoint) • 一度対応プロファイルをインストールするとOpenRoamingに 自動的に認証・接続 • 大阪駅、万博、東京駅等意外と繋がる • https://kyoto-local24.mps20.info/top 10

11. 目次 • Team Shirankedoとは • eduroam/OpenRoamingとは • 会場NOCでeduroam/OpenRoamingを吹くまで • 運用上の課題

    • 質問タイム 11

12. 必要な手順 12 1. 機器 を探す 2. IdP を探す 3. 機器

    を設定する

13. 1. 機器を探す eduroam • IEEE802.1XとWPA2/3-Enterpriseに対応していれば何でも OK OpenRoaming • Passpoint (Hotspot

    2.0) Release 1に対応する必要がある 13

14. 2. IdPを探す eduroam • eduroam JP加盟機関(大学・研究機関)が提供可能 • NOCに理解があり提供してくれる機関は多く無いように思われる • Cityroam加入団体も提供可能

    OpenRoaming • Cityroam加入団体が提供可能 • Cisco Spacesでも提供可能 提供実績 • AXIES2024：京都大学＋Cisco Spaces • JANOG55：Wi2 • IWSC奈良/NaniwaNOG3：Ｌｏｃａｌ２４（via 京都大学岡部研） • SRE Next：輝日 14

15. 2. IdPを探す 京都大学岡部研 • 私の所属する研究室でＬｏｃａｌ２４へのRADIUS Proxyを構築 • 私に声をかけてくれればProxy先に設定可能 • 場合によってはCisco

    Meraki MR44も貸出可能 • eduroam+OpenRoaming提供可能 • 会場-岡部研はRadSec、岡部研-Ｌｏｃａｌ２４はRADIUS(後述) 株式会社輝日 • 積極的に提供していただけるようです • 個人にも提供してくれています • eduroam+OpenRoaming提供可能 • RadSec提供可能 15

16. 2. IdPを探す Cisco Spaces • クラウド上で肩代わり • OpenRoamingのみ提供可能 • Cityroamではeduroam+OpenRoamingでの提供を推奨

    • 接続までの時間が長くなる • AWS Singapore Regionまで回っている • 初回接続 • Spacesが10秒、岡部研が5秒 • 2回目以降 • Spacesが5秒、岡部研が2秒 • PMKSA Caching • AP/端末がしばらくの間鍵をキャッシュして認証をスキップ 16

17. 3. 機器を設定する Cisco Meraki • ダッシュボードでアドレスを指定するだけ • 会場NOCで構築したRADIUS Proxyのアドレス •

    or IdPのRADIUS Proxyのアドレス 17

18. 3. 機器を設定する • https://booth.pm/ja/items/5292371 • ほぼ全ての対応ベンダの設定例が書かれている 18 Allied Telesis Arista

    Networks Aruba Cambium Networks Cisco Systems Meraki Edgecore Networks Extream Networks Fortinet I-O DATA MicroTik Juniper Mist RUCKS Networks Ubiquiti Networks OpenWRT

19. (構築例) IWSC奈良 19

20. そのほか必要事項 RADIUS • RadSec(RADIUS over TLS)の使用を推奨 • APとRADIUS Proxyで相互に証明書を検証 •

    互いにCAの証明書を登録する必要あり • RADIUSは段階的に廃止(Cityroam) • RADIUSではIdPまでのRADIUS Proxyは2台まで(Cityroam) ログの保持 • 認証ログ、DHCPログ、NAPTログなどを最低3ヶ月保持 • 詳しくは[Cityroamサービス技術・運用基準] 20

21. 目次 • Team Shirankedoとは • eduroam/OpenRoamingとは • 会場NOCでeduroam/OpenRoamingを吹くまで • 運用上の課題

    • 質問タイム 21

22. 課題① RADIUS Timeout の原因を探れ

23. NaniwaNOG3の例 23 !! ほとんどがRADIUS Timeout

24. RADIUSの問題 24 • EAP-TLSを用いるとクライアント証明書を含むため1500Bytes を超え、フラグメンテーションが発生する可能性 • MTU の不一致などによる認証パケットドロップ • 経路上でのパケットドロップ

    • RADIUSサーバーでの再構成の失敗 →結果としてRADIUS Timeoutしているのでは • 多段Proxyを経由するため原因の特定が困難 対策 • RadSec(RADIUS over TLS)の使用 • ただしプロファイル配布元のIdPにルーティングされるのでAPから配 布元IdPまで全てRadSecで接続されている必要がある

25. 課題② 運用上困ったこと

26. 運用上困ったこと トラシューが難しい • 多段のRADIUS Proxyを挟む • 多組織により相互に接続されるためそれぞれの組織によって設 定が異なることがある • realm名やEAPの方式、プロファイル

    IdPとのコネクションが必要 • NOCごとに調整が必要 誰でも接続できるが故の制限 • ログの3ヶ月保持は短期間で破壊されるNOCには不向き 26

27. 目次 • Team Shirankedoとは • eduroam/OpenRoamingとは • 会場NOCでeduroam/OpenRoamingを吹くまで • 運用上の課題

    • 質問タイム 27

28. 質問① セグメント,VLANを分け る必要はある？

29. 質問① セグメントやVLAN ありません • 吹く上では必要ないというだけであって、分離してもOK • eduroam/OpenRoaming固有でACLやQoSを掛けたい時とか...? • イベントと関係ない人がつながる可能性があることに注意 29

30. 質問② SSIDはどうしたらいい？

31. 質問② SSIDはどうしたらいい？ “eduroam” “cityroam”(Cityroam利用時) ”^.*OpenRoaming.*$”(任意) 31

32. 質問③ ユーザー名がRADIUSパケット に乗って、訪問先の機関に知ら れてしまうのはプライバシー的 に問題ないのでしょうか？

33. 質問③ RADIUSプライバシー Anonymous Outer Identity 33 yoshikawa @kyoto-u.ac.jp Inner Identity

    anonymous @kyoto-u.ac.jp Outer Identity • 伝送路ではouter identity ([email protected])のみ通知 • Inner Identiyは暗号化されたトンネ ル内で認証を行うIdPにのみ通知

34. ほか質問があれば お願いします

35. Thank you. Special Thanks! https://www.facebook.com/moriwakirt 森脇遼太 https://x.com/_marokiki https://www.facebook.com/marokiki.net HP https://www.marokiki.net

36. 参考資料 • eduroam JP 加入団体 • https://www.eduroam.jp/participants/siteinfo.html • Cityroam 加入団体

    • https://cityroam.jp/organization/ • RFC • RFC7593 - The eduroam Architecture for Network Roaming • RFC6614 - Transport Layer Security (TLS) Encryption for RADIUS • RFC6613 - RADIUS over TCP • RFC2865 - Remote Authentication Dial In User Service (RADIUS) • 関連文書 • Cityroam サービス実施要領 36