2020年3月下旬以降、新型コロナウイルス対策としてテレワークで業務を行っているのですが、家庭内のPCやスマートフォンとテレワーク用のPCを同じネットワークに収容するのはできるだけ避けたいので、ネットワークを分離することを考えました。

考えうる方法

いろんな方法がありますが、それぞれ、費用や手間、分離の状態が違います。

物理的に別の回線を引き込む

光回線でも良いし、WIMAXなどの無線系でもよいのですが、物理的に分けてしまえば完璧です。スマートフォンのテザリングでも良いでしょう。

しかし費用と手間の問題が大きいですし、無線系の場合は利用できるパケット通信量に制約が生じますので、これは除外することにします。

フレッツ光で別のプロバイダ契約を行う

フレッツ光はPPPoEでのプロバイダ接続を同時に複数行えるので、家庭用のPPPoE接続とは別の契約を追加してマルチセッション接続するという方法が取れます。この場合はテレワーク用のルータも追加して、ネットワーク接続を論理的に分離することができます。

しかしこれは月額費用が増えてしまうので、これも見送ることにします。

フレッツ光にぶら下げたルータに、別のルータを下げてセグメントを分ける

自宅内LANに、さらに別のルータを設置し、そちらのルータ配下のネットワークにテレワーク用の機器を接続するようにします。このときに、テレワーク用ルータのWAN側は家庭内LANに接続するようにします。

こうすれば家庭内LANからはテレワーク用LANにアクセスできないので、テレワーク環境は一応隔離されます。

また、テレワーク用のネットワークから家庭内LAN側にアクセスさせることは可能ですが、共有したいネットワークリソース（プリンタとか）がないなら家庭内LAN側へのアクセスは禁止しておいたほうが良い気がします。

フレッツ光にぶら下げたルータのWiFiを２つのセグメントに分ける

OpenWRTベースのルータなら、こういう構成が容易に作れます。Raspberry Pi のように2.4GHz帯と5GHz帯のWiFiを両方搭載している場合は、それぞれのWiFiを家庭内LANとテレワーク用LANに分ければよいと思います。

ただし設定を間違うとネットワークが正しく分離されず、相互の通信ができてしまったりする点に注意が必要です。

フレッツ光でDS-Lite対応のプロバイダに契約し、DL-Lite対応のルータをフレッツ光のルータに２台接続して分離する

PPPoEではなく IPoE IPv6 + DS-Lite IPv4 に設定したルータをフレッツ光のルータに２台並列でぶら下げるという方法があります。

試しに、手元の回線にRasp erry Pi でOpenWRTにDS-Liteの設定を行った構成２台をフレッツ光のルータに並列にぶら下げてみたところ、それぞれのルータからDS-Liteの接続が独立して行われました。PPPoE接続のように排他的に接続が行われるわけではないようです。また外部向けのグローバルIPv4アドレスを https://checkip.amazonaws.com/ で確認してみると、それぞれ別のIPアドレスが表示されることが確認できました。

どの方法を選択するか？

現在、自宅の回線はDS-Liteを使うように設定しているので、「フレッツ光でDS-Lite対応のプロバイダに契約し、DL-Lite対応のルータをフレッツ光のルータに２台接続して分離する」の方法を取ることにします。

この方法は、単にテレワーク用PCと家庭用機器の分離という目的だけではなく、OpenWRTのアップデートを実施するときの保険も兼ねています。

OpenWRT向けのDS-LIte機能は標準のファームウェアには含まれておらず、追加ソフトウェアをインターネット側からダウンロードしてのインストールが必要です。しかしOpenWRTベースのルータが１台しかないと、それをアップデートしたあとにDS-Lite機能の追加インストールをしたいのにDS-Lite接続がないとインターネット側に接続できないという問題が発生します。

なので、DS-Lite接続が可能なルータを２つ確保しておけば、片方をアップデートしたらもう片方の機器に一旦収容して追加ソフトウェアをインストールし、DS-Liteの設定復元を行うという作業が容易に行えるようになります。