Raspberry Pi 3 B+にOpenWrtを入れて無線ルータ化

 出張用にホテル用のトラベルルータを持っていたが、気付いたらメーカーのサポート期限が切れてファームウェアの更新も止まっていた

とはいえトラベルルータがないのも困るのでAmazonで色々と物色していたが、ふと手元にラズパイがあることを思い出した

これにルータOS入れたら使えるんじゃないだろうかと調べてみたらNanoPiにも入れてるOpenWrtがイケそうな情報を発見

早速Zabbix入れてたRaspberry Pi 3 B+を引っこ抜いてmicroSDカード選別

カード入れ替えてOS変えられるのはこの手のシングルボードコンピュータの強みでもあるな

手持ちの余りで良さそうなのだとトランセンドのクラス10の16GBがあった

8GBとか4GBでも足りる様なので十分だろう

OSのイメージはopenwrt.orgにラズパイ用で置いてあったのでそれを利用

作成時点でのバージョンは【 22.03.3 】

3B+用のgzファイルをダウンロードして適当なツールで解凍してRaspberry Pi ImagerでmicroSDカードへ書き込み

https://openwrt.org/toh/raspberry_pi_foundation/raspberry_pi

microSDカードをラズパイに入れて起動すると、以下の状態で立ち上がる

・有線LAN：192.168.1.1 /24

　ブリッジインターフェース、DHCPサーバ無効

・Wi-Fi：無効

・初期ID：root、PW：無し

・LuCiのWebインターフェースはインストール済み

なので他の端末から有線ポートにケーブルを繋いで固定IP設定した上でブラウザからアクセス

PWは未設定なのでこのままLogin

【 No Password Set! 】と黄色く警告が出ている状態でログイン確認

ひとまず問題なく起動はできた

ひとまず【 System 】>【Administrator】からRuter Passwordを変更して【Save】

次に【 System 】 > 【 System 】の【 General Settings 】タブから【 Timezone 】を【 Asia/Tokyo 】に変更して【Save】

次にWi-Fiを有効化する

【 Network 】 > 【 Wireless 】を開くと【 SSID:OpenWrt 】が無効化されているので【 Enable 】で有効化

ただ、ラズパイのこのイメージだと5GHzしか使えないので、2.4GHzも使いたい場合は、別途USBのWi-Fiドングルを買ってきてドライバインストールしてやる必要がある

有効化したら【 Edit 】を押下してWi-Fiの基本設定

【 General Setup 】タブで以下設定

　ESSID: <任意のSSID>

　Network: lan

次に【 Wireless Security 】タブで以下設定

　Encryption: WPA2-PSK(strong)

　Key: <任意のパスワード>

【 Save 】して画面戻って、【 Save & Apply 】で保存して適用

最後にインターフェイスを設定する

1つずつ【 Save & Apply 】せずに最後にまとめてやる

【 Network 】 > 【 Interface 】から【 Add new Interface 】でWANとLAN用に新規インターフェースを以下設定で作成

WANインターフェース

　Name: wan<任意の名前>

　Protocol: DHCP client

　Device: eth0

LANインターフェイス

　Name: wlan<任意の名前>

　Protocol: static

　Device: wlan

　

 

作成したインターフェイスの設定を【 edit 】で編集する

WANインターフェース

【 General Settings 】タブ

　Device: eht0

【Firewall Settings 】タブ

　Create / Assign firewall-zone: wan(enpty)

【 Save 】で設定保存

LANインターフェース

【 General Settings 】タブ

　Device: wlan

　IPv4 address: <LAN側のIPアドレス> 今回は192.168.8.1

　IPv4 netmask: 255.255.255.0

【Firewall Settings 】タブ

　Create / Assign firewall-zone: lan（wlan:)

【DHCP Server】タブの【 Advanced Settings 】タブ

　Dynamic DHCP: チェック

【 Save 】で設定保存


初めから存在している【LAN br-LAN】を削除した上で、【 Save & Apply 】で設定反映

PC等から設定したWi-Fi経由で接続して、wlanに設定したIPアドレスにアクセスできることを確認する

このままでも使えるが、一応言語を日本語へ変更する

【 System 】 > 【 Software 】を開いて、update listsでリストを更新

Filter:に【luci-i18n-base-ja】と入れて検索するとパッケージが出てくるので【 install 】

これでGUIの表示も日本語に設定された

ひとまずこれで、有線からDHCPでIP受けてWi-Fi飛ばす無線ルータになった

FWはステートフルインスペクションで動いているので、必要であれば別途設定を追加すればいい

その他、SSHでログインできるインターフェイスや公開鍵、root login無効等設定した方がいい項目もあるが、とりあえず使えるようにはなった

ちょうど出張があって某東横インの6Fに泊まったので、Wi-Fi Analyzerで電波測定

2.4GHzは混線しまくっているが、5GHzはスカスカだったので快適に利用できた

使った感じこれで十分な気がする

他に必要な機能を思いついたらパッケージから追加してみよう

OpenWrtにZabbix Agentを入れてZabbix Serverから監視する

ZabbixサーバにOpenWrtを追加したので手順をメモ

Zabbix Serverは5.0 LTS

■Zabbix Agentインストール

OpenWrtにログイン後【システム】>【Software】から【Zabbix-agentd】をダウンロードする

【abbix-extra-mac80211】と【zabbix-extra-network】と【zabbix-extra-wifi】はagentdの追加パッケージの様なのでついでにインストールした

wifiのはいらなかったかな

agentのバージョンは5.0.7-3なのでZabbix Serverのバージョンが違えば使えないかな

■設定ファイル修正

次に OpenWrtにSSHでログインして設定ファイルを編集する

# vim /etc/zabbix_agentd.conf

Server= <Zabbix ServerのIP>

ServerActive=<Zabbix ServerのIP>

Hostname=<Agent側のホスト名>

※OpenWrtの初期ホスト名は【OpenWrt】

■FWルール追加

このままだとPortが空いてないのでiptablesでルールを追加する

# iptables -A INPUT -p tcp --dport 10050 -j ACCEPT -s <Zabbix ServerのIP>

■Zabbix Serverホスト追加

後はZabbix Server側にホストを追加すればいい

グループは【Linux Servers】でインターフェースは【エージェント】としてOpenWrtのIPアドレスを指定

しばらくすればステータスが有効になって各種グラフの数値が取得できる

問題なく稼働しているし、速度もそれなりに出ているものの、XG Firewallに比べれば機能に劣るし、GUIで簡単に管理できる機能も少なく感じる

いっそのことOpenWrtを入れたNanoPi R4Sを予備に回して、Ubuntuマシンに組みまえたLIVA ZにOpensense入れてメインマシンに使って見ようかとも思うが、そうするとUbuntuを入れるマシンが足りなくなるので、別途小型のベアボーンでも欲しくなるな

XG Firewallからのメール通知設定

 WAN側をIPoEに設定してからメール通知の設定をやり直してなかったので、改めて設定をやり直した

ログイン後【管理】＞【通知の設定】

送信用メールはさくらのメールボックスで専用に作成したものを利用するので【外部メールサーバ】を選ぶ

■メールサーバ設定

　メールサーバ：    mail.***.*** 

　ポート：    587

　認証の要求：    チェック有

　ユーザ名：    ***@****.***

　パスワード： *****

　接続のセキュリティ：　STARTTLS

　証明書：    ApplianceCertificate

■メールの設定

　送信元メール：　***@***.***（上記で設定したアカウントのメールアドレス）

　メールアドレスに通知を送信：　***@***.***（送信先のメールアドレス

　管理インターフェースのIPアドレス：　PortC-　（WAN側のインターフェース）

送信する通知の種類は以下から設定する

【システムサービス】＞【通知リスト】

SNMPトラップの種類も選べるが、Zabbix側は標準MIBしか見ていないので今回は無視する

通知の欄からメール通信したいアクションを選んでチェックを付けるだけ

今回は送信先として普段活用していないMicrosoftのlive.jpのメールアドレスに送ることにしたが、本文が英語ベースのため迷惑メールに振り分けられてしまったので、それの解除やメール受信ルールの作成などの方が面倒だった

これで通知が多いようであれば不要と思われるアクションを解除しながら様子を見よう

iPhoneでのSSLインスペクション有効化

会社貸与のiPhone8（iOS13.6）を自宅のWi-Fiに繋げるのに、ついでだからとSSLインスペクションを有効にしているNWへ追加することにした

以下サイトを確認すると、iOSでSSLインスペクションを利用する場合は除外リストに追加した上でプロキシを経由するようにと記載があるので、Wi-Fi接続以外の設定を追加して行う

【エンタープライズネットワークで Apple 製品を使う】

別端末でXG Firewallから証明書をダウンロードして、クラウドサービスを利用してiPhoneへ証明書を転送しておく

該当の証明書はXG Firewallの【システム】＞【証明書】ページの【認証局（CA）】タブを開いて【SecurityAppliance_SSL_CA】のダウンロードボタンを押して別端末でダウンロードした

■iPhone端末設定

iPhoneの設定画面を開いて【一般】＞【プロファイルとデバイス管理】からダウンロードした証明書をインストールする

インストールが完了したら【一般】＞【情報】＞【証明書信頼設定】を開いてインストールした証明書を有効化する

接続しているWi-Fiの右側のマークをタップしてHTTPプロキシの設定を追加する

プロキシのIPはDefault GWと同じ値、ポートはXG Firewallの初期値は【3128】なのでそのまま設定する

ローカル端末へはアクセスさせないので除外リストは空白にした

ユーザ認証は必要であればXG Firewall側でユーザを作成してPW設定したものを入れればいいか

■XG Firewall追加設定

Appleのサイトで指定されているものをHTTPS復号化の除外リストとして登録する

XG Firewallにログインして【保護】＞【Web】ページの【例外】タブを開いてルールを【追加】する

上記URLに記載の【デバイスの設定】、【デバイス管理】、【ソフトウェア・アップデート】、【App Store】、【証明書の検証】からiOSが該当するURLを追加していく

【*.】となっているものはそのままではXG Firewallに登録できないので【^[A-Za-z0-9.-]*.】に置き換える

設定が完了したら適当なページ等を開いて正常性を確認する

App Storeやその他アプリも一応開いて異常がないかを確認して完了

OPNsenseでのOpenVPN設定

OPNsenseにOpenVPNの設定を追加する

公式サイトにドキュメントはあるものの、TOTPによる二要素認証を利用した方法等、今回使わない情報が載ってるので少し混乱した

【 Setup SSL VPN Road Warrior 】

構成は以前の記事同様XG Firewallと並列の構成

OpenVPNで接続したクライアントはXG FirewallのIPoEトンネルを利用してインターネットに抜ける構成になる

また、PPPoE側は個人向けOCNサービスのためダイナミックDNSとしてGoogle Domains内のDNSサービスに内包されているダイナミックDNSサービスを利用する

■ダイナミックDNS設定

まずは外部アクセス用にダイナミックDNSの設定を行う

GoogleDomainsのページにアクセスして【DNS】＞【合成レコード】のプルダウンから【ダイナミックDNS】を選択

今回はサブドメインで運用するので、空欄に任意のサブドメインを入力して追加する

追加したダイナミックDNSの情報を開くと【ユーザ名】と【パスワード】が表示されるので、これを後でコピペする

次にOPNsenseにログインして【サービス】＞【ダイナミックDNS】のページ内右上の【追加】から設定する

設定か所は以下

【有効】にチェック

【サービスタイプ】Google Domains

【監視するインターフェース】WAN

【ホスト名】Google Domainsで作成したサブドメインのFQDN

【ユーザ名】Google Domainsからコピペ

【パスワード】Google Domainsからコピペ

保存して強制更新すると、OPNsenseのダイナミックDNSのページ内で追加したものが有効化され、取得したグローバルIPアドレスが表示される

このアドレスはGoogle Domains上にも同様の値が表示される

■内部認証局作成

【システム】＞【セキュリティ】>【認証局】から新しい認証局を追加する

【説明】OpenVPN-CA #任意の値

【方法】内部認証局を作成

【鍵長】4096

【ダイジェストアルゴリズム】SHA512

【国コード】JP（Japan）

【都道府県】#任意の値

【市】#任意の値

【組織】#任意の値

【電子メールアドレス】#任意の値

【コモンネーム】#任意の値

■サーバ証明書作成

【システム】＞【セキュリティ】>【証明書】から新しいサーバ証明書を追加する

【方法】内部証明書の新規作成

【説明】OpenVPN-CE #任意の値

【認証局】OpenVPN-CA #上で作成した認証局を選択

【タイプ】サーバ証明書

【鍵長】4096

【ダイジェストアルゴリズム】SHA512

国コードからしたは認証局の情報が自動転記される

■VPNユーザ作成とユーザ証明書作成

【システム】＞【アクセス】＞【ユーザ】からVPN用のユーザを追加する

【ユーザ名】#任意の値

【パスワード】#任意の値

【証明書】クリックすると、ユーザ証明書を作成します　にチェック

保存してユーザ証明書の作成画面に移管する

【方法】内部証明書の新規作成

【説明】user-CE #任意の値

【認証局】OpenVPN-CA #上で作成した認証局を選択

【タイプ】クライアント証明書

【鍵長】4096

【ダイジェストアルゴリズム】SHA512

国コードからしたは認証局の情報が自動転記される

■OpenVPNサーバ作成

【VPN】＞【OpenVPN】＞【サーバ】から【新規サーバの設定にウィザードを使用】にてVPNサーバを追加する

・認証タイプ選択

【サーバのタイプ】Local User Access #初期値

・証明局選択 #誤訳？

【認証局】OpenVPN-CA　#上記で作成した認証局を選択

・サーバ証明書選択

【証明書】OpenVPN-CE　#上記で作成したサーバ証明書を選択

・サーバ設定

【インターフェース】WAN

【プロトコル】UDP

【ローカルポート】1194

【DHパラメータ長】4096

【暗号化アルゴリズム】AES-128-CBC(128 bit key, 128 bit block)

【認証ダイジェストアルゴリズム】SHA512（512-bit）

【IPv4 トンネルネットワーク】192.168.0.0/29 #VPNクライアントに割り当てるNW

【リダイレクトゲートウェイ】チェック入れる #VPNサーバ経由でインターネットへアクセスさせる

【IPv4 ローカルネットワーク】192.168.0.0/28

【動的IP】チェック入れる

【アドレスプール】チェック入れる

・ファイアウォールルール構成

【クライアントからサーバへのトラフィック】チェック入れる

【クライアントからVPN経由のトラフィック】チェック入れる

■作成されたFWルールの確認

【ファイアウォール】＞【ルール】の【OpenVPN】と【WAN】それぞれに新しいルールが追加されている

これでOPNsense側のOpenVPN設定は完了

【VPN】＞【OpenVPN】＞【クライアントのエクスポート】からプロファイルをダウンロードして端末へ設定してやればつながる

androidの場合は

【Export type】ファイルのみ

として画面下の証明書からユーザ証明書のデータをダウンロードすれば利用できる

認証局や証明書を別途作成するのが面倒だったものの、サーバ自体はウィザードが用意されておりFWルールも自動作成なので設定自体は簡単だった

実スループットは回線とOPNsenseへの割り当てリソースに左右されるだろうから、実用的かどうかは様子見

ESXi上にOPNsenseを構築

XG FirewallにIPoEの設定入れたらダイナミックDNS使えなくなってOpenVPNも利用できなくなったので、対処策としてPPPoEセッション用にルータを追加することに

構成は以下の感じ

XG FirewallのデフォルトルートはIPoEのIPIPトンネル向いてるので、優先度低めでOPNsenseにデフォルトルート向ければ、PPPoEもバックアップ回線に使えそう

色々設定できたら構成図綺麗に作り直そう

LIVA Zのリソースはあまり残って無いのでそれなりに軽量でも動くもので良さそうなのを探していたら【 OPNsense 】なる仮想Firewallがあるらしい

公式wikiの情報だと基本要件は以下の通り

【 Hardware sizing & setup 】

• Processor：1GHz dual core cpu
• RAM：1GB
• Install target：40GB SSD

メモリとストレージは余裕があるものの、CPUは4CoreともXG Firewallに振っているので、CPUだけは最小構成の1Coreでイケるだろう1GHzはあるし

設定はさくらのナレッジを参考にした

【FreeBSDベースのファイアウォールOS「OPNsense」（インストール編）】

まずは公式サイトのダウンロードページからISOファイルをダウンロードする

https://opnsense.org/download/

Architectureは【amd64】

Select the image typeはdvd

Mirror Locationは好きなところを選べばいい

bz2形式で落ちてくるので7z使って適当なフォルダに解凍しておく

ダウンロードしたバージョンは20.1とのこと

ESXiにログインして仮想マシンを新規作成する

名前はわかりやすく【OPNsense】

互換性は初期値

ゲストOSファミリは【その他】

ゲストOSのバージョンは【FreeBSD11より前のバージョン（64ビット）】

利用するデータストアは一つしかないのでそのまま選んで次へ

CPU：１

メモリ：1024MB

ハードディスク1：40GB　（シンプロビジョニング）

ネットワークアダプタ１：WAN側の仮想NW

ネットワークアダプタの追加で新規NIC追加してそちらはLAN側の仮想NWを割り当て

CD/DVDドライブ：データストアISファイル

として先ほど回答したISOファイルをアップロードする

作成完了したら起動して仮想コンソールから初期設定を行う

画面が起動したらエンターを押して先へ

途中でPress any key to start the manual interface assignment：

と聞かれるのでエンター押して手動設定へ移行

nic名とMACアドレスが表示されるのでESXi上の画面と照らし合わせてWANとLANを間違えない様に気を付ける

VLNAは使わないのでn

WANはem0

LANはem1

追加インターフェースは利用しないので未入力のままエンター

login:が表示されたら

login:root

PW:opnsense

でログインしてCLIで変更画面へ

【2) set interface IP address】の2を選んでIPアドレスを設定する

IPアドレスは192.168.1.14

サブネットは28

defaultgatewayを聞かれるが、VLAN越しにSSHで繋げる予定なのでXG Firewallの値の192.168.1.1を入れておく

これやらないとVLAN越しにルーティングできずにブラウザからのアクセスができなくなる

ラズパイ踏み台にしてやればいいんだろうけど

設定したら一旦ログアウトして以下の値でログインする

これでFirewall本体のインストール作業に入る

login:installer

PW:opnsense

キーボード設定を変更するため【Change Keymap（default）】から【jp.kbd】を選択

インストール方法は【Guided installation】を選択してストレージを選択

インストールモードは【GPT/UEFI】を選択

最後にrootパスワードの再設定、後で変更する場合は空欄のままエンター押せば初期値のままとなる

インストールが完了したらrebootして、起動後にIPアドレスでWebブラウザからアクセスできる

後はVLAN側へのスタティックルートとWANへのPPPoE設定とダイナミックDNS設定とOpenVPNの設定をやっていこう

Sophos XG FirewallのLAN側IPv6 IPoE（DS-Lite）設定

3月からの在宅勤務が緊急事態宣言の延長で長引きそうなので、自宅回線増強のためIPoE化をすることに

IPoEサービスは国内だと以下2つの種類が存在している

・v6プラス　（MAP-E）

【v6プラス(IPv6/IPv4インターネットサービス)】

・transix　（DS-Lite）

【transix（トランジックス）サービスとは】

どちらもIPv4アドレスを複数ユーザでシェアするためNATセッション数は1,000くらいに制限される上、送信元にウェルノウンポートが利用できないためWebサーバやVPNサーバ等の外部からアクセスするサーバ公開ができなくなる

MAP-Eであれば割り振られたポートを利用するように設定変更すれば無理やりでも方法はあるものの、DS-Liteは網側でNATされているため方法はないみたい

一応両サービスともにIPv4の固定IPアドレスサービスが存在してるものの、実際の提供ISPによってはメニュー化されていない場合がある

今回はXG FirewallがMAP-Eに対応していないので、DS-Liteを利用することにした

（厳密にはDS-Liteも公式に対応情報は出ていない）

今回選んだのはインターリンク社のZOOT NATIVE

ISP契約のみ可能で初期費無料、開通後2か月無料なのと申し込みから小一時間で開通するので試すにはちょうどいい

【フレッツ接続　ZOOT NATIVE】

申し込みには自宅のフレッツ回線の種別とCAF番号、アクセスキーが必要となる

支払方法をクレジットカードにして申し込んだら登録完了メールが届き、実際の開通連絡は1時間半後くらいだった

設定はマニュアルは以下サイトに公開されている

当然XG Firewallは記載がないのでYAMAHAルータのConfig辺りを参考に手探りで頑張る

【ZOOT NATIVEの設定】

設定に必要な開通案内の情報はほぼ無いのでXG Firewallに設定を入れていく

尚、IPv6でのInternet通信をする場合はLAN側のIPv6設定も必須なので先に済ませておく

利用するインターフェースは空いてるPortCをWANとして設定する

PortBにはOCNのPPPoE設定が入っているものの、MTU値が異なるので違うNICを利用する方が無難

PPPoEを利用する場合のフレッツ光ネクストのMTUは1454、

IPoEを利用する場合のフレッツ光ネクストのMTUは1500となっている

MTU値が違う場合は読み込みが遅くなったり、そもそも繋がらないこともあるので要注意

ログインして【設定】＞【ネットワーク】＞【インターフェース】から【PortC】を選択

設定か所は以下

【ネットワークゾーン】　WAN

【IPv4設定】　チェックを外す

【IPv6設定】　チェックを入れる

【IPの割り当て】　DHCP

【モード】　手動　ステートレス　DHCPから他の設定を承認にチェック

IPoEの場合は回線認証のためIPv6アドレスは自動でNIC側に設定される

このアドレスを後で使うのでメモしておく

次にDNSの設定

自動取得でも問題はないが、IPv4側がGoogleのpublicDNSを見ているからせっかくなのでIPv6側もGoogleに向けるため手動で設定する

【DNS2】　2001:4860:4860::8888

【DNS2】　2001:4860:4860::8844

次にtransixまでのIPIPトンネルを設定する

同じ【ネットワーク】のタブから【IPIPトンネル】を選択

隠れている場合は右端の【・・・】をクリックすれば出てくる

設定項目は以下5項目

【トンネル名】　IPoE　（わかりやすい任意の名前）

【トンネルの種類】 4in6

【ゾーン】　WAN

【ローカルエンドポイント】　WAN側のNICに振られたIPv6アドレス

【リモートエンドポイント】　2404:8e01::feed:100

リモートエンドポイントはtransix側へ接続するためのIPv6アドレスで以下が公開されている

NTT東日本エリアから接続する方

2404:8e00::feed:100

2404:8e00::feed:101

NTT西日本エリアから接続する方

2404:8e01::feed:100

2404:8e01::feed:101

次にInternetの通信をトンネルに向けるためスタティックルートを設定する

上のトンネル設定を保存する際にダイアログボックスが表示されるが、そこでデフォルトルートを入れようとするとエラーになるので一旦消して、改めてやる必要があった

【設定】＞【ルーティング】の【スタティックルーティング】からIPv4のルーティングを追加する

設定項目は以下2か所

【宛先IP/ネットマスク】　0.0.0.0 /0 [0.0.0.0]

【インターフェース】　IPoE（プルダウンで作成したトンネルを選択）

とりあえず全てIPIPトンネルに投げてしまえばInternet通信は問題なくできる

他にスタティックで設定を入れている場合はディスタンスの値で調整すればいい

最後にFWの設定を行う

【ルール名】　LAN-Internet　（わかりやすいもので任意に）

【送信元ゾーン】　LAN

【送信元ネットワークとデバイス】　任意

【宛先ゾーン】　WAN

【宛先ネットワーク】　任意

【HTTPのスキャン】　チェックを入れる

【侵入防御】　LAN TO WAN

【Webポリシー】　Default Policy

【NAT&ルーティング】　送信元アドレスの書き換え (マスカレード)にチェックを入れる

【送信用アドレスの使用】　MASQ（プルダウンで選択）

何故かLAN側をanyにしないとIPv6で通信が通らなかった

また、HTTPSの暗号化解除/スキャンを有効にしても同様に通信が通らないのでとりあえずHTTPのスキャンだけに留めることに

IPoEのIPv6通信はNAPTせず端末にアドレスが設定されるとかの記載をよく見るが、XG FirewallはLAN側にULAでIPv6を設定するためIPv6パススルーに対応していない

そのためNAPTが必須となるが、その分多少なりともセキュリティは強固になるのか

よくIPoEだと外からIPv6アドレスでアクセスできてしまうからポート閉塞などきちんと行う必要があると言われるが、NAPTしていれば明示的に開けない限り入れないので多分大丈夫

設定が完了したら以下サイトで接続確認を行う

【http://ipv6-test.com/】

IPv4、IPv6ともにInternet Multi Feedのtransixに接続できていることが確認できる

ICMPがNot testedになっているのはNAPTしている影響

回線を切り替えてから体感でもかなり安定した速度が出るようになった気がする

速度判定サイトはサイトによってまちまちだが上下共に100Mbps～400Mbpsくらいの値が出ていた

OCNのPPPoEは100Mbpsを超えることが稀だったのでこれで在宅での業務も安定して使えそうだ

ただ、DDNSでのOpenVPNが利用できなくなったのでそちらの対策は別途検討が必要になった