1-1.VMWare

筐体                             : 自作PC(Win10pro)
VMWare　　　　　　　　　　　　　 : VMware(R) Workstation 17 Pro 17.5.1 build-23298084
仮想マシン                       : Ubuntu 22.04.2, vyos-1.5-rolling-202404040019

1-2 .全体構成

vyosをルータとして、DNSとDHCPのサブネット、Clientのサブネットに分割しています。
DNS、DHCP、Clientは全てUbuntu 22.04.2を使用しています。
vyosのeth2では、以下のようにDHCPリレー設定を行っています。

set service dhcp-relay listen-interface 'eth2'
set service dhcp-relay server '192.168.74.148'
set service dhcp-relay upstream-interface 'eth1'

もちろん、同一サブネット内であればDHCPリレー設定は不要です。
また、DNSとDHCPの仮想マシンを別けていますが、同一仮想マシン内でDNSとDHCPサービスを同時に稼働させることも可能です。
なお、構成図上にu222c2147などホスト名を記載していますが、これは、動作確認時のログにホスト名が表示されるため、どのホストから出力されたログかを識別するために記載しています。

1-3 .全体の流れ ～概要～

1. BIND9インストールと設定
2. ISC-DHCPインストールと設定
3. Dynamic DNS設定
4. 動作確認とTips

2-1.BIND9インストール

apt -y install bind9 bind9utils

2-2.named.conf設定

新規でZoneを定義しますので、include～の行を最終行に追記してください。

vi /etc/bind/named.conf

include "/etc/bind/named.conf.intzone";

2-3.named.conf.options設定

オプションはお好みで設定してください。
ここでは例として、forwaders, allow-query, recursionの設定を追記しました。

vi /etc/bind/named.conf.options

        forwarders {
                8.8.8.8;
        };
        allow-query { localhost; 192.168.0.0/16; };
        recursion yes;

2-4.Zoneファイルの指定設定

新規でファイルを作成します。
定義したZoneにおける各Zoneファイルを指定しています。

vi /etc/bind/named.conf.intzone

zone "example.com" IN {
        type master;
        file "/etc/bind/example.com.lan";
        allow-update { none; };
};
zone "75.168.192.in-addr.arpa" IN {
        type master;
        file "/etc/bind/75.168.192.db";
        allow-update { none; };
};

2-5.Zoneファイル設定：正引き

正引きファイルを設定します。
ns行までは、必須です。
vyosの行以下は、テスト用のため任意で設定してください。

vi /etc/bind/example.com.lan

$TTL 60
@   IN  SOA     ns.example.com. root.example.com. (
        2024062401  ;Serial
        60          ;Refresh
        30          ;Retry
        120         ;Expire
        60          ;Minimum TTL
)
        IN  NS      ns.example.com.
        IN  A       192.168.74.147
        IN  MX 10   ns.example.com.

ns      IN  A       192.168.74.147
vyos    IN  A       192.168.74.1
vyos    IN  A       192.168.75.1

2-6.Zoneファイル設定：逆引き

逆引きファイルを設定します。
PTRレコードはテスト用のため任意で設定してください。

vi /etc/bind/75.168.192.db

$TTL 60
@   IN  SOA     ns.example.com. root.example.com. (
        2024062401  ;Serial
        60          ;Refresh
        30          ;Retry
        120         ;Expire
        60          ;Minimum TTL
)
        IN  NS      ns.example.com.
1       IN  PTR     vyos.example.com.

設定が完了したら、サービスの再起動をしておきます。

systemctl restart named

2-7.動作確認

digコマンドで正引きと逆引きの確認を行います。
正引きの動作確認

root@u222c2147:~# dig vyos.example.com

; <<>> DiG 9.18.24-0ubuntu0.22.04.1-Ubuntu <<>> vyos.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18198
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;vyos.example.com.              IN      A

;; ANSWER SECTION:
vyos.example.com.       60      IN      A       192.168.75.1
vyos.example.com.       60      IN      A       192.168.74.1

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Jul 07 08:57:27 JST 2024
;; MSG SIZE  rcvd: 77

逆引きの動作確認*2

Croot@u222c2147:~# dig -x 192.168.75.1

; <<>> DiG 9.18.24-0ubuntu0.22.04.1-Ubuntu <<>> -x 192.168.75.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41316
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;1.75.168.192.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
1.75.168.192.in-addr.arpa. 60   IN      PTR     vyos.example.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Jul 07 08:58:26 JST 2024
;; MSG SIZE  rcvd: 84

DNSサーバ設定は一旦完了です。

3-1.ISC-DHCPインストール

apt -y install isc-dhcp-server

3-2.NIC設定

どのNICで待ち受けするかの設定を行います。

vi /etc/default/isc-dhcp-server

INTERFACESv4="ens34"

3-3.dhcpd.conf設定

デフォルトで設定されているoptionをコメントアウトします。
検証用にリース時間を任意で短くしています。単位は秒です。
2つのサブネットに対して設定を行います。

vi /etc/dhcp/dhcpd.conf

#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;

default-lease-time 30;
max-lease-time 60;

subnet 192.168.74.0 netmask 255.255.255.0 {
}
subnet 192.168.75.0 netmask 255.255.255.0 {
    range 192.168.75.32 192.168.75.63;
    option routers 192.168.75.1;
    option domain-name-servers 192.168.74.147;
    option domain-name "example.com";
}

＜補足＞
"subnet 192.168.74.0"の設定は不要と思われがちですが、この設定がないとDHCPサービス起動時にFaildとなるため必須です。
これは待ち受けNICとして設定したens34のIPアドレスと同一サブネットの設定を定義しておかないとダメなようです。*3

設定が完了したら、サービスの再起動をしておきます。

systemctl restart isc-dhcp-server

3-4.動作確認

Clientを起動して、192.168.75.xのアドレスが取得できていればOKです。
または、以下のログをtailした状態で、Clientを起動しても良いと思います。

tail -f /var/log/syslog

Jul  7 09:12:36 u222c2148 dhcpd[886]: DHCPDISCOVER from 00:0c:29:c7:31:a6 via 192.168.75.1
Jul  7 09:12:37 u222c2148 dhcpd[886]: DHCPOFFER on 192.168.75.32 to 00:0c:29:c7:31:a6 (u222c2149) via 192.168.75.1
Jul  7 09:12:37 u222c2148 dhcpd[886]: DHCPREQUEST for 192.168.75.32 (192.168.74.148) from 00:0c:29:c7:31:a6 (u222c2149) via 192.168.75.1
Jul  7 09:12:37 u222c2148 dhcpd[886]: DHCPACK on 192.168.75.32 to 00:0c:29:c7:31:a6 (u222c2149) via 192.168.75.1

DHCPサーバ設定は一旦完了です。

4-1.TSIG Keyファイル作成

/etc/bindにcdした後、ddns-confgenコマンドを実行します。
"dhcp75.ddns.lan"の部分は任意の文字列でOKです。

cd /etc/bind

ddns-confgen -k dhcp75.ddns.lan

＜出力例＞
key "dhcp75.ddns.lan"の赤文字部分がKeyとなります。

root@u222c2147:/etc/bind# ddns-confgen -k dhcp75.ddns.lan
# To activate this key, place the following in named.conf, and
# in a separate keyfile on the system or systems from which nsupdate
# will be run:
key "dhcp75.ddns.lan" {
        algorithm hmac-sha256;
        secret "4g7Jwcozsh5s35M1gOJ7VLNVa9mJSK3s9lwVw06MKRc=";
};

# Then, in the "zone" statement for each zone you wish to dynamically
# update, place an "update-policy" statement granting update permission
# to this key.  For example, the following statement grants this key
# permission to update any name within the zone:
update-policy {
        grant dhcp75.ddns.lan zonesub ANY;
};

# After the keyfile has been placed, the following command will
# execute nsupdate using this key:
nsupdate -k 

同じディレクトリのまま、新規でkeyファイルを作成します。
前項の赤文字部分をそのままコピペしてください。

vi dhcp75.key

key "dhcp75.ddns.lan" {
        algorithm hmac-sha256;
        secret "4g7Jwcozsh5s35M1gOJ7VLNVa9mJSK3s9lwVw06MKRc=";
};

Keyファイルに対してchmodをしておきます。

chown root:bind dhcp75.key

4-2.Zoneファイル移動

Zoneファイルを/var/lib/bind/配下にmvします。
Zoneファイルは、DHCPサーバからのアップデート要求に基づいて動的更新されるためです。

mv /etc/bind/example.com.lan /var/lib/bind/
mv /etc/bind/75.168.192.db /var/lib/bind/

4-3.named.conf.intzoneファイルの更新

更新前にバックアップをとっておきます。

cp /etc/bind/named.conf.intzone /etc/bind/named.conf.intzone.org

変更するポイントは以下3点です。

• dhcp75.keyをincludeします。
• file行のPathを更新します。
• allow-update行を削除し、update-policyに更新します。

vi /etc/bind/named.conf.intzone

include "/etc/bind/dhcp75.key";

zone "example.com" IN {
        type master;
        file "/var/lib/bind/example.com.lan";
        update-policy {
        grant dhcp75.ddns.lan wildcard *.example.com A DHCID;
        };
};
zone "75.168.192.in-addr.arpa" IN {
        type master;
        file "/var/lib/bind/75.168.192.db";
        update-policy {
        grant dhcp75.ddns.lan wildcard *.75.168.192.in-addr.arpa PTR;
        };
};

更新が完了したら、以下のコマンドでチェックします。
何も出力されなければOKです。

sudo named-checkconf

サービスの再起動とステータス確認を行います。

systemctl restart named
systemctl status named

＜出力例＞

root@u222c2147:/etc/bind# systemctl status named
● named.service - BIND Domain Name Server
     Loaded: loaded (/lib/systemd/system/named.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2024-07-07 09:34:04 JST; 8s ago
       Docs: man:named(8)
    Process: 1429 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS)
   Main PID: 1430 (named)
      Tasks: 6 (limit: 4514)
     Memory: 6.0M
        CPU: 23ms
     CGroup: /system.slice/named.service
             └─1430 /usr/sbin/named -u bind

Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:503:c27::2:30#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:500:2d::d#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2801:1b8:10::b#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:500:2f::f#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:7fd::1#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:500:1::53#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:500:12::d0d#53
Jul 07 09:34:04 u222c2147 named[1430]: network unreachable resolving './NS/IN': 2001:500:9f::42#53
Jul 07 09:34:04 u222c2147 named[1430]: managed-keys-zone: Key 20326 for zone . is now trusted (acceptance timer complete)
Jul 07 09:34:04 u222c2147 named[1430]: resolver priming query complete: success

DNSの設定更新としては以上となります。
引き続き、DHCPの設定更新を行っていきます。

4-4.TSIG Keyファイルのコピー

SCPコマンドで、DNSサーバ上で作成したdhcp75.keyを、DHCPサーバ上の/etc/dhcp/ddns-keys/配下にコピーします。

scp /etc/bind/dhcp75.key root@192.168.74.148:/etc/dhcp/ddns-keys/

もしくは、DHCPサーバ上で直接作成しても構いません。Keyファイル作成時の赤文字部分をそのままコピペします。*4

vi /etc/dhcp/ddns-keys/dhcp75.key

key "dhcp75.ddns.lan" {
        algorithm hmac-sha256;
        secret "4g7Jwcozsh5s35M1gOJ7VLNVa9mJSK3s9lwVw06MKRc=";
};

4-5.dhcpd.confファイルの更新

更新前にバックアップをとっておきます。

cp /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.org

変更するポイントは以下3点です。

• dhcp75.keyをincludeします。
• ddns-updates行とzone行を追記します。
• ddns-update-styleをnoneからstandardに変更します。

vi /etc/dhcp/dhcpd.conf

include "/etc/dhcp/ddns-keys/dhcp75.key";

ddns-updates on;
ddns-update-style standard;

zone example.com. {
  primary 192.168.74.147;
  key dhcp75.ddns.lan;
}

zone 75.168.192.in-addr.arpa. {
  primary 192.168.74.147;
  key dhcp75.ddns.lan;
}

サービスの再起動とステータス確認を行います。

systemctl restart isc-dhcp-server
systemctl status isc-dhcp-server

＜出力例＞

root@u222c2148:~# systemctl status isc-dhcp-server
● isc-dhcp-server.service - ISC DHCP IPv4 server
     Loaded: loaded (/lib/systemd/system/isc-dhcp-server.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2024-07-07 09:44:52 JST; 5s ago
       Docs: man:dhcpd(8)
   Main PID: 1305 (dhcpd)
      Tasks: 4 (limit: 4514)
     Memory: 14.3M
        CPU: 15ms
     CGroup: /system.slice/isc-dhcp-server.service
             └─1305 dhcpd -user dhcpd -group dhcpd -f -4 -pf /run/dhcp-server/dhcpd.pid -cf /etc/dhcp/dhcpd.conf ens34

Jul 07 09:44:52 u222c2148 dhcpd[1305]: PID file: /run/dhcp-server/dhcpd.pid
Jul 07 09:44:52 u222c2148 dhcpd[1305]: Wrote 1 leases to leases file.
Jul 07 09:44:52 u222c2148 sh[1305]: Wrote 1 leases to leases file.
Jul 07 09:44:52 u222c2148 dhcpd[1305]: Listening on LPF/ens34/00:0c:29:26:19:61/192.168.74.0/24
Jul 07 09:44:52 u222c2148 sh[1305]: Listening on LPF/ens34/00:0c:29:26:19:61/192.168.74.0/24
Jul 07 09:44:52 u222c2148 sh[1305]: Sending on   LPF/ens34/00:0c:29:26:19:61/192.168.74.0/24
Jul 07 09:44:52 u222c2148 sh[1305]: Sending on   Socket/fallback/fallback-net
Jul 07 09:44:52 u222c2148 dhcpd[1305]: Sending on   LPF/ens34/00:0c:29:26:19:61/192.168.74.0/24
Jul 07 09:44:52 u222c2148 dhcpd[1305]: Sending on   Socket/fallback/fallback-net
Jul 07 09:44:52 u222c2148 dhcpd[1305]: Server starting service.

DHCPの設定更新としては以上となります。

5-1.動作確認

DNSとDHCPサーバのそれぞれで以下のコマンドを実行しておきます。

tail -f /var/log/syslog

Clientを起動してください。
DNSとDHCPサーバ上で、それぞれ以下のログが出力されれば正常に更新されています。
＜DNS側の出力例＞

Jul  7 09:49:27 u222c2147 named[1430]: client @0x7fe06c22b078 192.168.74.148#60321/key dhcp75.ddns.lan: updating zone 'example.com/IN': adding an RR at 'u222c2149.example.com' A 192.168.75.32
Jul  7 09:49:27 u222c2147 named[1430]: client @0x7fe06c22b078 192.168.74.148#60321/key dhcp75.ddns.lan: updating zone 'example.com/IN': adding an RR at 'u222c2149.example.com' DHCID AAIBo4qhcLCIFqPc87yoBzE3J4JKcPgq9Ae8nrkULTsbD2A=
Jul  7 09:49:27 u222c2147 named[1430]: client @0x7fe06c22a9b8 192.168.74.148#40031/key dhcp75.ddns.lan: updating zone '75.168.192.in-addr.arpa/IN': deleting rrset at '32.75.168.192.in-addr.arpa' PTR
Jul  7 09:49:27 u222c2147 named[1430]: client @0x7fe06c22a9b8 192.168.74.148#40031/key dhcp75.ddns.lan: updating zone '75.168.192.in-addr.arpa/IN': adding an RR at '32.75.168.192.in-addr.arpa' PTR u222c2149.example.com.

＜DHCP側の出力例＞

Jul  7 09:49:26 u222c2148 dhcpd[1305]: DHCPDISCOVER from 00:0c:29:c7:31:a6 via 192.168.75.1
Jul  7 09:49:27 u222c2148 dhcpd[1305]: DHCPOFFER on 192.168.75.32 to 00:0c:29:c7:31:a6 (u222c2149) via 192.168.75.1
Jul  7 09:49:27 u222c2148 dhcpd[1305]: DHCPREQUEST for 192.168.75.32 (192.168.74.148) from 00:0c:29:c7:31:a6 (u222c2149) via 192.168.75.1
Jul  7 09:49:27 u222c2148 dhcpd[1305]: DHCPACK on 192.168.75.32 to 00:0c:29:c7:31:a6 (u222c2149) via 192.168.75.1
Jul  7 09:49:27 u222c2148 dhcpd[1305]: Added new forward map from u222c2149.example.com to 192.168.75.32
Jul  7 09:49:27 u222c2148 dhcpd[1305]: Added reverse map from 32.75.168.192.in-addr.arpa. to u222c2149.example.com

Clientからもdigコマンドで確認してみます。
＜digコマンドの出力例＞

root@u222c2149:~# dig u222c2149.example.com

; <<>> DiG 9.18.1-1ubuntu1.3-Ubuntu <<>> u222c2149.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33246
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;u222c2149.example.com.         IN      A

;; ANSWER SECTION:
u222c2149.example.com.  30      IN      A       192.168.75.32

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Jul 07 10:17:57 JST 2024
;; MSG SIZE  rcvd: 66

root@u222c2149:~# dig -x 192.168.75.32

; <<>> DiG 9.18.1-1ubuntu1.3-Ubuntu <<>> -x 192.168.75.32
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17163
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;32.75.168.192.in-addr.arpa.    IN      PTR

;; ANSWER SECTION:
32.75.168.192.in-addr.arpa. 30  IN      PTR     u222c2149.example.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sun Jul 07 10:18:03 JST 2024
;; MSG SIZE  rcvd: 90

5-2.Zoneファイルを手動更新する場合

Zoneファイルは自動更新されるため、手動でZoneファイルを設定したい場合は、自動更新を明示的に一時停止する必要があります。
自動更新を一時停止する場合は以下のコマンド

rndc freeze

自動更新を再開する場合は以下のコマンド

rndc thaw

自動更新が始まると、/var/lib/bind/配下のZoneファイルは、以下のように更新されます。*5
＜正引きファイル出力例＞

root@u222c2147:~# cat /var/lib/bind/example.com.lan
$ORIGIN .
$TTL 60 ; 1 minute
example.com             IN SOA  ns.example.com. root.example.com. (
                                2024062435 ; serial
                                60         ; refresh (1 minute)
                                30         ; retry (30 seconds)
                                120        ; expire (2 minutes)
                                60         ; minimum (1 minute)
                                )
                        NS      ns.example.com.
                        A       192.168.74.147
                        MX      10 ns.example.com.
$ORIGIN example.com.
ns                      A       192.168.74.147
$TTL 30 ; 30 seconds
u222c2149               A       192.168.75.32
                        DHCID   ( AAIBo4qhcLCIFqPc87yoBzE3J4JKcPgq9Ae8nrkULTsb
                                D2A= ) ; 2 1 32
$TTL 60 ; 1 minute
vyos                    A       192.168.74.1
                        A       192.168.75.1

＜逆引きファイル出力例＞

root@u222c2147:~# cat /var/lib/bind/75.168.192.db
$ORIGIN .
$TTL 60 ; 1 minute
75.168.192.in-addr.arpa IN SOA  ns.example.com. root.example.com. (
                                2024062420 ; serial
                                60         ; refresh (1 minute)
                                30         ; retry (30 seconds)
                                120        ; expire (2 minutes)
                                60         ; minimum (1 minute)
                                )
                        NS      ns.example.com.
$ORIGIN 75.168.192.in-addr.arpa.
1                       PTR     vyos.example.com.
$TTL 30 ; 30 seconds
32                      PTR     u222c2149.example.com.

＜補足＞
/var/lib/bind/配下には、.jnl(ジャーナル)ファイルが存在します。
先にジャーナルファイルが更新された後、少し時間をおいてからZoneファイルが更新されます。*6

root@u222c2147:~# ls -Fal /var/lib/bind/
total 24
drwxrwxr-x  2 root bind 4096 Jul  7 10:03 ./
drwxr-xr-x 42 root root 4096 Jul  6 18:07 ../
-rw-r--r--  1 bind bind  404 Jul  7 10:02 75.168.192.db
-rw-r--r--  1 bind bind 3449 Jul  7 10:04 75.168.192.db.jnl
-rw-r--r--  1 bind bind  552 Jul  7 10:03 example.com.lan
-rw-r--r--  1 bind bind 2792 Jul  7 10:04 example.com.lan.jnl

以上です。

1-1.環境

全ての端末(仮想マシン)はVMWare上に構築しています。

VMWare　　　: VMware(R) Workstation 17 Pro 17.5.0 build-22583795

Open5GS用仮想マシン
OS          : Ubuntu 22.04.2
Open5GS     : v2.7.0
MongoDB     : v6.0.0

UERANSIM仮想マシン
OS          : Ubuntu 22.04.2
UERANSIM    : v3.2.6

1-2.全体構成

各インターフェース名を記載すると以下のようになります。

上記は最終構成のため複雑に見えますが、最初は以下の構成にて1Call成功まで構築します。
その後、仮想マシンをクローンして、Open5GSのAMFやSMFを含む5GCとUPFに分離します。

1-3 .全体の流れ ～概要～

1. 事前準備
2. Open5GS設定
3. UERANSIM設定
4. 簡易動作確認
5. Open5GSの分離*2
6. 動作確認
7. 動作確認：応用編

2-1.u222c111:UERANSIMのNW設定

192.168.11.xは管理用で、インターネット接続が可能な状態になっています。
必要なアプリのインストール完了後、DNSやDefaultGW設定をコメントアウトします。

root@u222c111:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.111/24
      nameservers:
        addresses:
        - 192.168.11.1
      routes:
      - to: default
        via: 192.168.11.1
    ens35:
      addresses:
      - 192.168.56.111/24
  version: 2

root@u222c111:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.11.1    0.0.0.0         UG    0      0        0 ens33
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35

設定完了後は、Bash上で以下のように設定反映が必要です。
以降は特に記載しませんが、NW周りの設定変更後は忘れずに実施してください。

netplan generate
netplan apply

2-2.u222c112:Open5GSのNW設定

UERANSIMと同様に、192.168.11.xは管理用で、後ほどDNSやDefaultGW設定をコメントアウトします。

root@u222c112:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.112/24
      nameservers:
        addresses:
        - 192.168.11.1
      routes:
      - to: default
        via: 192.168.11.1
    ens35:
      addresses:
      - 192.168.56.112/24
    ens37:
      addresses:
      - 192.168.33.112/24
  version: 2

root@u222c112:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.11.1    0.0.0.0         UG    0      0        0 ens33
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.33.0    0.0.0.0         255.255.255.0   U     0      0        0 ens37
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35

2-3.u222c112:Open5GSのIP転送とFW無効化設定

sed -i -e "s/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g" /etc/sysctl.conf
sysctl -p

systemctl stop ufw && \
systemctl disable ufw

reboot

＜補足＞
Open5GS関連のDoc*4を読むと、UPF上でNAPT(IPマスカレード)設定を行っています。
しかし、ここでは意図的に設定していませんので、その理由を以下に補足します。

2-4.NATルータの戻り経路設定

本来、補足レベルの内容ですが、気付かないとハマるので、念のため。
NATルータ上で、以下のようにUEのIP Prefixに対して、戻り経路を設定しておいてください。

ip route 10.45.0.0 0.0.255.255 192.168.33.112

3-1.MongoDBのインストール

apt -y install wget gnupg software-properties-common ca-certificates lsb-release
wget -qO - https://www.mongodb.org/static/pgp/server-6.0.asc | gpg --dearmor -o /etc/apt/trusted.gpg.d/mongodb-6.gpg
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu $(lsb_release -cs)/mongodb-org/6.0 multiverse" | tee /etc/apt/sources.list.d/mongodb-org-6.0.list

apt update
apt install -y mongodb-org
systemctl start mongod && \
systemctl enable mongod

3-2.Open5GSのインストール

add-apt-repository ppa:open5gs/latest
apt update
apt -y install open5gs

＜補足＞
add-apt-repository ppa:open5gs/latest の実行時、以下のように確認を求められますが、Enterで進めてください。

root@u222c112:~# add-apt-repository ppa:open5gs/latest
PPA publishes dbgsym, you may need to include 'main/debug' component
Repository: 'deb https://ppa.launchpadcontent.net/open5gs/latest/ubuntu/ jammy main'
Description:
Open5GS is a C-language Open Source implementation of 5G Core and EPC, i.e. the core network of NR/LTE network (Release-17)
More info: https://launchpad.net/~open5gs/+archive/ubuntu/latest
Adding repository.
Press [ENTER] to continue or Ctrl-c to cancel.

3-3.Open5GS Web Consoleのインストール

最初にnodejsをインストールした後、Web ConsoleのインストールスクリプトをDLして実行します。

apt -y install ca-certificates curl gnupg
mkdir -p /etc/apt/keyrings
curl -fsSL https://deb.nodesource.com/gpgkey/nodesource-repo.gpg.key | sudo gpg --dearmor -o /etc/apt/keyrings/nodesource.gpg
NODE_MAJOR=20
echo "deb [signed-by=/etc/apt/keyrings/nodesource.gpg] https://deb.nodesource.com/node_$NODE_MAJOR.x nodistro main" | sudo tee /etc/apt/sources.list.d/nodesource.list
apt update
apt -y install nodejs

curl -fsSL https://open5gs.org/open5gs/assets/webui/install | sudo -E bash -

3-4.Web Consoleの起動設定

DefaultではループバックアドレスでListenしてしまうため、コンソール端末などからアクセスできないので、以下のように設定します。
追記箇所：青文字

vi /lib/systemd/system/open5gs-webui.service

[Unit]
Description=Open5GS WebUI
Wants=mongodb.service mongod.service

[Service]
Type=simple

WorkingDirectory=/usr/lib/node_modules/open5gs
Environment=NODE_ENV=production
Environment=HOSTNAME=0.0.0.0
Environment=PORT=3000
ExecStart=/usr/bin/node server/index.js
Restart=always
RestartSec=2

[Install]
WantedBy=multi-user.target

設定が完了したら、設定反映とサービス再起動を実施します。

systemctl daemon-reload
systemctl restart open5gs-webui

＜補足＞
サービスのステータスが以下のようになっていればOKです。

systemctl status open5gs-webui.service

root@u222c112:~# systemctl status open5gs-webui.service
● open5gs-webui.service - Open5GS WebUI
     Loaded: loaded (/lib/systemd/system/open5gs-webui.service; enabled; vendor prese>
     Active: active (running) since Thu 2024-02-01 18:34:23 JST; 3s ago
   Main PID: 8279 (node)
      Tasks: 14 (limit: 4530)
     Memory: 54.9M
        CPU: 442ms
     CGroup: /system.slice/open5gs-webui.service
             └─8279 /usr/bin/node server/index.js

Feb 01 18:34:23 u222c112 systemd[1]: Started Open5GS WebUI.
Feb 01 18:34:24 u222c112 node[8279]: (node:8279) DeprecationWarning: collection.ensur>
Feb 01 18:34:24 u222c112 node[8279]: (Use `node --trace-deprecation ...` to show wher>
Feb 01 18:34:24 u222c112 node[8279]: > Ready on http://0.0.0.0:3000

3-5.加入者情報(Subscriber)の登録

Web Consoleにアクセスして加入者情報を登録します。
0.0.0.0:3000にてListenしていますので、ブラウザを開いてHTTPでアクセスしてください。

今回は例として、http://192.168.11.112:3000/にアクセスしています。
Username：admn
Password：1423

ログイン後、以下の画面が表示されますので、ADD A SUBSCRIBERをクリック。

Subscriber Configuration画面にて、以下のIMSIを入力し、SAVEをクリック。
IMSI：999700000000001
K値やOPcはDefaultのままでOKです。

元の画面に戻ります。
右下の赤い＋をクリックし、同様の手順にて、連番のIMSIで2～3登録します。

IMSI：999700000000001、999700000000002、999700000000003を登録しました。

3-6.AMFの設定

ループバックアドレス(127.0.0.5)を実IP(192.168.56.112)に変更します。
127.0.0.5は複数あるため変更箇所を間違えないように気を付けてください。
yaml形式なので把握し易いですが、nagp:配下のサービス待ち受けアドレス127.0.0.5を変更します。
変更箇所：緑文字

vi /etc/open5gs/amf.yaml

  ngap:
    server:
      - address: 192.168.56.112

3-7.UPFの設定

ループバックアドレス(127.0.0.7)を実IP(192.168.56.112)に変更します。
UPFの場合は、gtpu:配下のサービス待ち受けアドレス127.0.0.7を変更します。
変更箇所：緑文字

vi /etc/open5gs/upf.yaml

  gtpu:
    server:
      - address: 192.168.56.112

3-8.未使用サービスの停止

4G関連の使用しないサービスを停止します。*6

for service in open5gs-hssd open5gs-mmed open5gs-pcrfd open5gs-sgwcd open5gs-sgwud; do
  systemctl stop "$service"
  systemctl disable "$service"
done

reboot

3-9.再起動後の確認

前項にて再起動後、以下のコマンドでサービス起動確認をしてください。
hssd, mmed, pcrfd, sgwcd, sgwudがdisabledであればOKです。

systemctl list-unit-files --type=service |grep open5gs

root@u222c112:~# systemctl list-unit-files --type=service |grep open5gs
open5gs-amfd.service                       enabled         enabled
open5gs-ausfd.service                      enabled         enabled
open5gs-bsfd.service                       enabled         enabled
open5gs-hssd.service                       disabled        enabled
open5gs-mmed.service                       disabled        enabled
open5gs-nrfd.service                       enabled         enabled
open5gs-nssfd.service                      enabled         enabled
open5gs-pcfd.service                       enabled         enabled
open5gs-pcrfd.service                      disabled        enabled
open5gs-scpd.service                       enabled         enabled
open5gs-sgwcd.service                      disabled        enabled
open5gs-sgwud.service                      disabled        enabled
open5gs-smfd.service                       enabled         enabled
open5gs-udmd.service                       enabled         enabled
open5gs-udrd.service                       enabled         enabled
open5gs-upfd.service                       enabled         enabled
open5gs-webui.service                      enabled         enabled

加えて、以下のコマンドで待ち受けIPアドレスの確認を行ってください。
以下のようになっていればOKです。

cat /var/log/open5gs/amf.log |grep ngap_server
cat /var/log/open5gs/upf.log |grep gtp_server

root@u222c112:~# cat /var/log/open5gs/amf.log |grep ngap_server
02/01 18:23:43.215: [amf] INFO: ngap_server() [127.0.0.5]:38412 (../src/amf/ngap-sctp.c:61)
02/01 19:14:37.767: [amf] INFO: ngap_server() [192.168.56.112]:38412 (../src/amf/ngap-sctp.c:61)

root@u222c112:~# cat /var/log/open5gs/upf.log |grep gtp_server
02/01 18:23:45.149: [gtp] INFO: gtp_server() [127.0.0.7]:2152 (../lib/gtp/path.c:30)
02/01 19:14:37.864: [gtp] INFO: gtp_server() [192.168.56.112]:2152 (../lib/gtp/path.c:30)

4-1.必要なアプリのインストール

apt update
apt -y install make g++ libsctp-dev lksctp-tools iproute2
snap install cmake --classic
reboot

4-2.UERANSIMのビルド

cd ~
git clone https://github.com/aligungr/UERANSIM
cd UERANSIM
git checkout 3a96298
make

＜出力例＞
makeには少し時間を要しますが、以下のような出力であればOKです。

root@u222c111:~/UERANSIM# make
rm -fr logs # Old version log files
mkdir -p build
rm -fr build/*
# cmake -DCMAKE_BUILD_TYPE=Debug -G "CodeBlocks - Unix Makefiles" . -B cmake-build-debug
cmake -DCMAKE_BUILD_TYPE=Release -G "CodeBlocks - Unix Makefiles" . -B cmake-build-release
CMake Deprecation Warning:
  Support for "Extra Generators" like

    CodeBlocks

  is deprecated and will be removed from a future version of CMake.  IDEs may
  use the cmake-file-api(7) to view CMake-generated project build trees.


-- The C compiler identification is GNU 11.4.0
-- The CXX compiler identification is GNU 11.4.0
-- Detecting C compiler ABI info
-- Detecting C compiler ABI info - done
-- Check for working C compiler: /usr/bin/cc - skipped
-- Detecting C compile features
-- Detecting C compile features - done
-- Detecting CXX compiler ABI info
-- Detecting CXX compiler ABI info - done
-- Check for working CXX compiler: /usr/bin/c++ - skipped
-- Detecting CXX compile features
-- Detecting CXX compile features - done
-- Configuring done (0.3s)
-- Generating done (0.1s)
-- Build files have been written to: /root/UERANSIM/cmake-build-release
# cmake --build cmake-build-debug --target all
cmake --build cmake-build-release --target all
gmake[1]: Entering directory '/root/UERANSIM/cmake-build-release'
gmake[2]: Entering directory '/root/UERANSIM/cmake-build-release'
gmake[3]: Entering directory '/root/UERANSIM/cmake-build-release'
gmake[3]: Leaving directory '/root/UERANSIM/cmake-build-release'
gmake[3]: Entering directory '/root/UERANSIM/cmake-build-release'
[  0%] Building C object src/asn/asn1c/CMakeFiles/asn-asn1c.dir/ANY.c.o
[  0%] Building C object src/asn/asn1c/CMakeFiles/asn-asn1c.dir/BIT_STRING.c.o
[  0%] Building C object src/asn/asn1c/CMakeFiles/asn-asn1c.dir/BOOLEAN.c.o
[  0%] Building C object src/asn/asn1c/CMakeFiles/asn-asn1c.dir/INTEGER.c.o

＝＝＝ s n i p ＝＝＝

[100%] Building CXX object CMakeFiles/nr-cli.dir/src/cli.cpp.o
[100%] Linking CXX executable nr-cli
gmake[3]: Leaving directory '/root/UERANSIM/cmake-build-release'
[100%] Built target nr-cli
gmake[2]: Leaving directory '/root/UERANSIM/cmake-build-release'
gmake[1]: Leaving directory '/root/UERANSIM/cmake-build-release'
cp cmake-build-release/nr-gnb build/
cp cmake-build-release/nr-ue build/
cp cmake-build-release/nr-cli build/
cp cmake-build-release/libdevbnd.so build/
cp tools/nr-binder build/
UERANSIM successfully built.

4-3.gNBの設定

自身のIPと接続先AMFのIPを設定します。
いずれもループバックアドレスになっているため、実際のIPに変更します。
変更箇所：緑文字

vi /root/UERANSIM/config/open5gs-gnb.yaml

linkIp: 192.168.56.111   # gNB's local IP address for Radio Link Simulation (Usually same with local IP)
ngapIp: 192.168.56.111   # gNB's local IP address for N2 Interface (Usually same with local IP)
gtpIp: 192.168.56.111    # gNB's local IP address for N3 Interface (Usually same with local IP)

# List of AMF address information
amfConfigs:
  - address: 192.168.56.112
    port: 38412

4-4.UEの設定

gNB Search ListのIPをループバックアドレスから自身のIPに変更します。
変更箇所：緑文字

vi /root/UERANSIM/config/open5gs-ue.yaml

# List of gNB IP addresses for Radio Link Simulation
gnbSearchList:
  - 192.168.56.111

補足1
IMSIやK値、OPcなどは既に設定済みです。
Open5GS Web Consoleの値と一致しているかを確認してもよいと思います。

open5gs-ue.yamlでの出力例

cat /root/UERANSIM/config/open5gs-ue.yaml

root@u222c111:~/UERANSIM# cat /root/UERANSIM/config/open5gs-ue.yaml
# IMSI number of the UE. IMSI = [MCC|MNC|MSISDN] (In total 15 digits)
supi: 'imsi-999700000000001'
# Mobile Country Code value of HPLMN
mcc: '999'
# Mobile Network Code value of HPLMN (2 or 3 digits)
mnc: '70'
# SUCI Protection Scheme : 0 for Null-scheme, 1 for Profile A and 2 for Profile B
protectionScheme: 0
# Home Network Public Key for protecting with SUCI Profile A
homeNetworkPublicKey: '5a8d38864820197c3394b92613b20b91633cbd897119273bf8e4a6f4eec0a65
0'
# Home Network Public Key ID for protecting with SUCI Profile A
homeNetworkPublicKeyId: 1
# Routing Indicator
routingIndicator: '0000'

# Permanent subscription key
key: '465B5CE8B199B49FAA5F0A2EE238A6BC'
# Operator code (OP or OPC) of the UE
op: 'E8ED289DEBA952E4283B54E88E6183CA'
# This value specifies the OP type and it can be either 'OP' or 'OPC'
opType: 'OPC'
# Authentication Management Field (AMF) value
amf: '8000'
# IMEI number of the device. It is used if no SUPI is provided
imei: '356938035643803'
# IMEISV number of the device. It is used if no SUPI and IMEI is provided
imeiSv: '4370816125816151'

Open5GS Web Consoleでの出力例

補足2
K値やOPcについて、厳密にはきちんと設定する必要があります。
テスト用の値は、3GPP TS 35.208に記載があるので参照してもよいと思います。
私が確認した 3GPP TS 35.208 V17.0.0 (2022-03) では、4.3 Test Setsに20個のサンプルが記載されていました。

5-1.u222c111:UERANSIMのNW設定

以下のように変更し、設定を反映させます。

root@u222c111:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.111/24
    ens35:
      addresses:
      - 192.168.56.111/24
  version: 2

続いて、resolv.confを修正します。
変更箇所：緑文字

vi /etc/resolv.conf

nameserver 8.8.8.8

一旦、再起動します。

＜route設定＞
再起動後、Default Routeが消えていればOKです。

route -n

root@u222c111:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35

＜DNS設定＞
nameserverが8.8.8.8になっていればOKです。*7

cat /run/systemd/resolve/resolv.conf |grep nameserver

root@u222c111:~# cat /run/systemd/resolve/resolv.conf |grep nameserver
nameserver 8.8.8.8

5-2.u222c112:Open5GSのNW設定

以下のように変更し、設定を反映させます。

root@u222c112:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.112/24
    ens35:
      addresses:
      - 192.168.56.112/24
    ens37:
      addresses:
      - 192.168.33.112/24
      routes:
      - to: default
        via: 192.168.33.1
  version: 2

一旦、再起動します。

＜route設定＞
再起動後、Default RouteのNext-Hopが192.168.33.1に変わっていればOKです。

route -n

root@u222c112:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.33.1    0.0.0.0         UG    0      0        0 ens37
10.45.0.0       0.0.0.0         255.255.0.0     U     0      0        0 ogstun
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.33.0    0.0.0.0         255.255.255.0   U     0      0        0 ens37
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35

5-3.動作確認前の準備

u222c111:UERANSIMは、ssh接続して、ターミナルを3つ用意してください。
これはUERANSIMのgNBやUEがforegroundで動作するためです。

u222c112:Open5GSは、ターミナル無しで構いません。
但し、初回UEアタッチ時はログが見れた方が良いと思うので、ターミナルは3つ程度用意しておいた方が良いです。
参照しておいた方が良いログは、以下3つとなります。

• /var/log/open5gs/amf.log
• /var/log/open5gs/smf.log
• /var/log/open5gs/upf.log

以降は、上記ターミナルA～Fが用意されている前提で記載していきます。

5-4.ログ出力設定

各ターミナルで、tail -fを実行しておきます。
ターミナルD：AMF

tail -f /var/log/open5gs/amf.log

ターミナルE：SMF

tail -f /var/log/open5gs/smf.log

ターミナルF：UPF

tail -f /var/log/open5gs/upf.log

5-5.gNB＆UEの起動と通信確認

ターミナルAとBでgNBとUEを起動します。
ターミナルA：gNB

cd ~/UERANSIM && \
build/nr-gnb -c config/open5gs-gnb.yaml

ターミナルB：UE

cd ~/UERANSIM && \
build/nr-ue -c config/open5gs-ue.yaml

ターミナルC：通信確認
UEが正常起動したら、Default RouteのNext-Hopをuesimtun0に指定して、NATルータまで疎通確認を行います。

ip route add default dev uesimtun0

ping 192.168.33.1

5-6.起動時のログ出力例

ターミナルD：AMF

root@u222c112:~# tail -f /var/log/open5gs/amf.log 

02/02 07:01:39.750: [amf] INFO: gNB-N2 accepted[192.168.56.111]:43431 in ng-path module (../src/amf/ngap-sctp.c:113)
02/02 07:01:39.750: [amf] INFO: gNB-N2 accepted[192.168.56.111] in master_sm module (../src/amf/amf-sm.c:741)
02/02 07:01:39.754: [amf] INFO: [Added] Number of gNBs is now 1 (../src/amf/context.c:1231)
02/02 07:01:39.754: [amf] INFO: gNB-N2[192.168.56.111] max_num_of_ostreams : 10 (../src/amf/amf-sm.c:780)
02/02 07:01:45.820: [amf] INFO: InitialUEMessage (../src/amf/ngap-handler.c:401)
02/02 07:01:45.820: [amf] INFO: [Added] Number of gNB-UEs is now 1 (../src/amf/context.c:2550)
02/02 07:01:45.820: [amf] INFO:     RAN_UE_NGAP_ID[1] AMF_UE_NGAP_ID[1] TAC[1] CellID[0x10] (../src/amf/ngap-handler.c:562)
02/02 07:01:45.820: [amf] INFO: [suci-0-999-70-0000-0-0-0000000001] Unknown UE by SUCI (../src/amf/context.c:1835)
02/02 07:01:45.820: [amf] INFO: [Added] Number of AMF-UEs is now 1 (../src/amf/context.c:1616)
02/02 07:01:45.820: [gmm] INFO: Registration request (../src/amf/gmm-sm.c:1165)
02/02 07:01:45.820: [gmm] INFO: [suci-0-999-70-0000-0-0-0000000001]    SUCI (../src/amf/gmm-handler.c:166)
02/02 07:01:46.040: [gmm] INFO: [imsi-999700000000001] Registration complete (../src/amf/gmm-sm.c:2146)
02/02 07:01:46.041: [amf] INFO: [imsi-999700000000001] Configuration update command (../src/amf/nas-path.c:612)
02/02 07:01:46.041: [gmm] INFO:     UTC [2024-02-01T22:01:46] Timezone[0]/DST[0] (../src/amf/gmm-build.c:559)
02/02 07:01:46.041: [gmm] INFO:     LOCAL [2024-02-02T07:01:46] Timezone[32400]/DST[0] (../src/amf/gmm-build.c:564)
02/02 07:01:46.041: [amf] INFO: [Added] Number of AMF-Sessions is now 1 (../src/amf/context.c:2571)
02/02 07:01:46.041: [gmm] INFO: UE SUPI[imsi-999700000000001] DNN[internet] S_NSSAI[SST:1 SD:0xffffff] smContextRef [NULL] (../src/amf/gmm-handler.c:1241)
02/02 07:01:46.041: [gmm] INFO: SMF Instance [d6eb5314-c147-41ee-b28f-b5844066cb66] (../src/amf/gmm-handler.c:1280)
02/02 07:01:46.052: [amf] INFO: [imsi-999700000000001:1:11][0:0:NULL] /nsmf-pdusession/v1/sm-contexts/{smContextRef}/modify (../src/amf/nsmf-handler.c:837)

ターミナルE：SMF

root@u222c112:~# tail -f /var/log/open5gs/smf.log

02/02 07:01:46.041: [smf] INFO: [Added] Number of SMF-UEs is now 1 (../src/smf/context.c:1019)
02/02 07:01:46.042: [smf] INFO: [Added] Number of SMF-Sessions is now 1 (../src/smf/context.c:3068)
02/02 07:01:46.047: [smf] INFO: UE SUPI[imsi-999700000000001] DNN[internet] IPv4[10.45.0.2] IPv6[] (../src/smf/npcf-handler.c:539)
02/02 07:01:46.048: [gtp] INFO: gtp_connect() [192.168.56.112]:2152 (../lib/gtp/path.c:60)

ターミナルF：UPF

root@u222c112:~# tail -f /var/log/open5gs/upf.log

02/02 07:01:46.047: [upf] INFO: [Added] Number of UPF-Sessions is now 1 (../src/upf/context.c:208)
02/02 07:01:46.047: [gtp] INFO: gtp_connect() [127.0.0.4]:2152 (../lib/gtp/path.c:60)
02/02 07:01:46.047: [upf] INFO: UE F-SEID[UP:0xece CP:0x442] APN[internet] PDN-Type[1] IPv4[10.45.0.2] IPv6 (../src/upf/context.c:485)
02/02 07:01:46.047: [upf] INFO: UE F-SEID[UP:0xece CP:0x442] APN[internet] PDN-Type[1] IPv4[10.45.0.2] IPv6 (../src/upf/context.c:485)
02/02 07:01:46.050: [gtp] INFO: gtp_connect() [192.168.56.111]:2152 (../lib/gtp/path.c:60)

ターミナルA：gNB

root@u222c111:~# cd ~/UERANSIM && \
build/nr-gnb -c config/open5gs-gnb.yaml

UERANSIM v3.2.6
[2024-02-02 07:01:39.741] [sctp] [info] Trying to establish SCTP connection... (192.168.56.112:38412)
[2024-02-02 07:01:39.750] [sctp] [info] SCTP connection established (192.168.56.112:38412)
[2024-02-02 07:01:39.750] [sctp] [debug] SCTP association setup ascId[3]
[2024-02-02 07:01:39.750] [ngap] [debug] Sending NG Setup Request
[2024-02-02 07:01:39.755] [ngap] [debug] NG Setup Response received
[2024-02-02 07:01:39.755] [ngap] [info] NG Setup procedure is successful
[2024-02-02 07:01:45.817] [rrc] [debug] UE[1] new signal detected
[2024-02-02 07:01:45.819] [rrc] [info] RRC Setup for UE[1]
[2024-02-02 07:01:45.819] [ngap] [debug] Initial NAS message received from UE[1]
[2024-02-02 07:01:45.836] [ngap] [debug] Initial Context Setup Request received
[2024-02-02 07:01:46.049] [ngap] [info] PDU session resource(s) setup for UE[1] count[1]

ターミナルB：UE

root@u222c111:~# cd ~/UERANSIM && \
build/nr-ue -c config/open5gs-ue.yaml

UERANSIM v3.2.6
[2024-02-02 07:01:45.817] [nas] [info] UE switches to state [MM-DEREGISTERED/PLMN-SEARCH]
[2024-02-02 07:01:45.817] [rrc] [debug] New signal detected for cell[1], total [1] cells in coverage
[2024-02-02 07:01:45.817] [nas] [info] Selected plmn[999/70]
[2024-02-02 07:01:45.818] [rrc] [info] Selected cell plmn[999/70] tac[1] category[SUITABLE]
[2024-02-02 07:01:45.818] [nas] [info] UE switches to state [MM-DEREGISTERED/PS]
[2024-02-02 07:01:45.818] [nas] [info] UE switches to state [MM-DEREGISTERED/NORMAL-SERVICE]
[2024-02-02 07:01:45.818] [nas] [debug] Initial registration required due to [MM-DEREG-NORMAL-SERVICE]
[2024-02-02 07:01:45.818] [nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 07:01:45.818] [nas] [debug] Sending Initial Registration
[2024-02-02 07:01:45.818] [nas] [info] UE switches to state [MM-REGISTER-INITIATED]
[2024-02-02 07:01:45.818] [rrc] [debug] Sending RRC Setup Request
[2024-02-02 07:01:45.819] [rrc] [info] RRC connection established
[2024-02-02 07:01:45.819] [rrc] [info] UE switches to state [RRC-CONNECTED]
[2024-02-02 07:01:45.819] [nas] [info] UE switches to state [CM-CONNECTED]
[2024-02-02 07:01:45.826] [nas] [debug] Authentication Request received
[2024-02-02 07:01:45.829] [nas] [debug] Security Mode Command received
[2024-02-02 07:01:45.829] [nas] [debug] Selected integrity[2] ciphering[0]
[2024-02-02 07:01:45.837] [nas] [debug] Registration accept received
[2024-02-02 07:01:45.837] [nas] [info] UE switches to state [MM-REGISTERED/NORMAL-SERVICE]
[2024-02-02 07:01:45.837] [nas] [debug] Sending Registration Complete
[2024-02-02 07:01:45.837] [nas] [info] Initial Registration is successful
[2024-02-02 07:01:45.837] [nas] [debug] Sending PDU Session Establishment Request
[2024-02-02 07:01:45.837] [nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 07:01:46.040] [nas] [debug] Configuration Update Command received
[2024-02-02 07:01:46.050] [nas] [debug] PDU Session Establishment Accept received
[2024-02-02 07:01:46.050] [nas] [info] PDU Session establishment is successful PSI[1]
[2024-02-02 07:01:46.064] [app] [info] Connection setup for PDU session[1] is successful, TUN interface[uesimtun0, 10.45.0.2] is up.

ターミナルC：通信確認

root@u222c111:~# ip route add default dev uesimtun0

root@u222c111:~# ping 192.168.33.1
PING 192.168.33.1 (192.168.33.1) 56(84) bytes of data.
64 bytes from 192.168.33.1: icmp_seq=1 ttl=254 time=1.54 ms
64 bytes from 192.168.33.1: icmp_seq=2 ttl=254 time=1.69 ms
64 bytes from 192.168.33.1: icmp_seq=3 ttl=254 time=1.50 ms
64 bytes from 192.168.33.1: icmp_seq=4 ttl=254 time=1.60 ms
^C
--- 192.168.33.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 1.496/1.582/1.693/0.073 ms

＜補足＞
ここまで正常確認ができれば全てOKです。
インターネット向け通信については、NATルータ上でNAPT(IPマスカレード)設定を行った後、UEからcurl www.google.comなどにアクセスしてみてください。
NATルータの192.168.33.1に疎通OKなので、ひとまず5G Core内の動作が正常であることを担保できています。

6-1.u222c112:UPFの設定

6-1-1.u222c112:UPFのNW設定

NW周りの設定を変更します。

root@u222c112:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.112/24
    ens35:
      addresses:
      - 192.168.58.112/24
      routes:
      - to: 192.168.56.0/22
        via: 192.168.58.1
    ens37:
      addresses:
      - 192.168.33.112/24
      routes:
      - to: default
        via: 192.168.33.1
  version: 2

設定変更＆反映後、以下のようになっていればOKです。

root@u222c112:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.33.1    0.0.0.0         UG    0      0        0 ens37
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.33.0    0.0.0.0         255.255.255.0   U     0      0        0 ens37
192.168.56.0    192.168.58.1    255.255.252.0   UG    0      0        0 ens35
192.168.58.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35

6-1-2.u222c112:UPFのサービス設定

UPF上で不要なサービスを停止&無効化します。

for service in open5gs-amfd open5gs-ausfd open5gs-bsfd open5gs-nrfd open5gs-nssfd open5gs-pcfd open5gs-scpd open5gs-smfd open5gs-udmd open5gs-udrd open5gs-webui; do
  systemctl stop "$service"
  systemctl disable "$service"
done

6-1-3.u222c112:UPFのyaml設定

gtpu serverの待ち受けアドレスに加えて、pfcp serverの待ち受けアドレスも変更します。
変更箇所：緑文字

vi /etc/open5gs/upf.yaml

upf:
  pfcp:
    server:
      - address: 192.168.58.112
    client:
#      smf:     #  UPF PFCP Client try to associate SMF PFCP Server
#        - address: 127.0.0.4
  gtpu:
    server:
      - address: 192.168.58.112

設定が完了したら、一旦再起動をしておきます。

6-2.u222c113:AMFの設定変更

6-2-1.u222c113:AMFのNW設定

NW周りの設定を変更します。

root@u222c113:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.113/24
    ens35:
      addresses:
      - 192.168.57.113/24
      routes:
      - to: 192.168.56.0/22
        via: 192.168.57.1
  version: 2

設定変更＆反映後、以下のようになっていればOKです。

root@u222c113:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.56.0    192.168.57.1    255.255.252.0   UG    0      0        0 ens35
192.168.57.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35

6-2-2.u222c113:AMFのサービス設定

UPFサービスを停止&無効化します。

systemctl stop open5gs-upfd.service && \
systemctl disable open5gs-upfd.service

6-2-3.u222c113:AMFのamf.yaml設定

ngap serverの待ち受けアドレスを変更します。
変更箇所：緑文字

vi /etc/open5gs/amf.yaml

  ngap:
    server:
      - address: 192.168.57.113

6-2-4.u222c113:AMFのsmf.yaml設定

UPFを分離したため、smf.yamlの設定変更が必要になります。
pfcp serverの待ち受けアドレスと、pfcp clientの接続先アドレス(=UPFのアドレス)を変更します。
変更箇所：緑文字

vi /etc/open5gs/smf.yaml

  pfcp:
    server:
      - address: 192.168.57.113
    client:
      upf:
        - address: 192.168.58.112

6-3.u222c111:UERANSIMの設定変更

6-3-1.u222c111:UERANSIMのNW設定

NW周りの設定を変更します。

root@u222c111:~# cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
  ethernets:
    ens33:
      addresses:
      - 192.168.11.111/24
    ens35:
      addresses:
      - 192.168.56.111/24
      routes:
      - to: 192.168.56.0/22
        via: 192.168.56.1
  version: 2

設定変更＆反映後、以下のようになっていればOKです。*12

root@u222c111:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.11.0    0.0.0.0         255.255.255.0   U     0      0        0 ens33
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 ens35
192.168.56.0    192.168.56.1    255.255.252.0   UG    0      0        0 ens35

6-3-2.u222c111:UERANSIMのyaml設定

AMFへの接続先アドレスを変更します。
変更箇所：緑文字

vi /root/UERANSIM/config/open5gs-gnb.yaml

# List of AMF address information
amfConfigs:
  - address: 192.168.57.113
    port: 38412

7-1.ログ出力設定

コマンドは、5.簡易動作確認と全く同じですが再掲しておきます。

各ターミナルで、tail -fを実行しておきます。
ターミナルD：AMF

tail -f /var/log/open5gs/amf.log

ターミナルE：SMF

tail -f /var/log/open5gs/smf.log

ターミナルF：UPF

tail -f /var/log/open5gs/upf.log

7-2.gNB＆UEの起動と通信確認

ターミナルAとBでgNBとUEを起動します。
ターミナルA：gNB

cd ~/UERANSIM && \
build/nr-gnb -c config/open5gs-gnb.yaml

ターミナルB：UE

cd ~/UERANSIM && \
build/nr-ue -c config/open5gs-ue.yaml

ターミナルC：通信確認
UEが正常起動したら、Default RouteのNext-Hopをuesimtun0に指定して、NATルータまで疎通確認を行います。

ip route add default dev uesimtun0

ping 192.168.33.1

次項では、各ターミナルにおける正常時の出力例を記載していきます。

7-3.起動時のログ出力例

ターミナルD：AMF

root@u222c113:~# tail -f /var/log/open5gs/amf.log 

02/02 12:38:34.152: [amf] INFO: gNB-N2 accepted[192.168.56.111]:50398 in ng-path module (../src/amf/ngap-sctp.c:113)
02/02 12:38:34.152: [amf] INFO: gNB-N2 accepted[192.168.56.111] in master_sm module (../src/amf/amf-sm.c:741)
02/02 12:38:34.156: [amf] INFO: [Added] Number of gNBs is now 1 (../src/amf/context.c:1231)
02/02 12:38:34.157: [amf] INFO: gNB-N2[192.168.56.111] max_num_of_ostreams : 10 (../src/amf/amf-sm.c:780)
02/02 12:38:41.607: [amf] INFO: InitialUEMessage (../src/amf/ngap-handler.c:401)
02/02 12:38:41.607: [amf] INFO: [Added] Number of gNB-UEs is now 1 (../src/amf/context.c:2550)
02/02 12:38:41.607: [amf] INFO:     RAN_UE_NGAP_ID[1] AMF_UE_NGAP_ID[1] TAC[1] CellID[0x10] (../src/amf/ngap-handler.c:562)
02/02 12:38:41.607: [amf] INFO: [suci-0-999-70-0000-0-0-0000000001] Unknown UE by SUCI (../src/amf/context.c:1835)
02/02 12:38:41.608: [amf] INFO: [Added] Number of AMF-UEs is now 1 (../src/amf/context.c:1616)
02/02 12:38:41.608: [gmm] INFO: Registration request (../src/amf/gmm-sm.c:1165)
02/02 12:38:41.608: [gmm] INFO: [suci-0-999-70-0000-0-0-0000000001]    SUCI (../src/amf/gmm-handler.c:166)
02/02 12:38:41.619: [sbi] INFO: [UDM] (SCP-discover) NF registered [1ac074c8-c17c-41ee-b2d4-338cf5ac6abc:1] (../lib/sbi/path.c:211)
02/02 12:38:41.621: [sbi] WARNING: [UDM] (SCP-discover) NF has already been added [1ac074c8-c17c-41ee-b2d4-338cf5ac6abc:2] (../lib/sbi/path.c:216)
02/02 12:38:41.829: [gmm] INFO: [imsi-999700000000001] Registration complete (../src/amf/gmm-sm.c:2146)
02/02 12:38:41.829: [amf] INFO: [imsi-999700000000001] Configuration update command (../src/amf/nas-path.c:612)
02/02 12:38:41.830: [gmm] INFO:     UTC [2024-02-02T03:38:41] Timezone[0]/DST[0] (../src/amf/gmm-build.c:559)
02/02 12:38:41.830: [gmm] INFO:     LOCAL [2024-02-02T12:38:41] Timezone[32400]/DST[0] (../src/amf/gmm-build.c:564)
02/02 12:38:41.830: [amf] INFO: [Added] Number of AMF-Sessions is now 1 (../src/amf/context.c:2571)
02/02 12:38:41.830: [gmm] INFO: UE SUPI[imsi-999700000000001] DNN[internet] S_NSSAI[SST:1 SD:0xffffff] smContextRef [NULL] (../src/amf/gmm-handler.c:1241)
02/02 12:38:41.830: [gmm] INFO: SMF Instance [1ad5297c-c17c-41ee-a541-7dc64ea9161c] (../src/amf/gmm-handler.c:1280)
02/02 12:38:41.843: [amf] INFO: [imsi-999700000000001:1:11][0:0:NULL] /nsmf-pdusession/v1/sm-contexts/{smContextRef}/modify (../src/amf/nsmf-handler.c:837)

ターミナルE：SMF

root@u222c113:~# tail -f /var/log/open5gs/smf.log

02/02 12:38:41.831: [smf] INFO: [Added] Number of SMF-UEs is now 1 (../src/smf/context.c:1019)
02/02 12:38:41.831: [smf] INFO: [Added] Number of SMF-Sessions is now 1 (../src/smf/context.c:3068)
02/02 12:38:41.834: [sbi] INFO: [UDM] (SCP-discover) NF registered [1ac074c8-c17c-41ee-b2d4-338cf5ac6abc:1] (../lib/sbi/path.c:211)
02/02 12:38:41.837: [smf] INFO: UE SUPI[imsi-999700000000001] DNN[internet] IPv4[10.45.0.2] IPv6[] (../src/smf/npcf-handler.c:539)
02/02 12:38:41.838: [gtp] INFO: gtp_connect() [192.168.58.112]:2152 (../lib/gtp/path.c:60)
02/02 12:38:41.843: [sbi] WARNING: [UDM] (SCP-discover) NF has already been added [1ac074c8-c17c-41ee-b2d4-338cf5ac6abc:2] (../lib/sbi/path.c:216)

ターミナルF：UPF

root@u222c112:~# tail -f /var/log/open5gs/upf.log

02/02 12:38:41.837: [upf] INFO: [Added] Number of UPF-Sessions is now 1 (../src/upf/context.c:208)
02/02 12:38:41.837: [gtp] INFO: gtp_connect() [127.0.0.4]:2152 (../lib/gtp/path.c:60)
02/02 12:38:41.837: [upf] INFO: UE F-SEID[UP:0x937 CP:0x83c] APN[internet] PDN-Type[1] IPv4[10.45.0.2] IPv6 (../src/upf/context.c:485)
02/02 12:38:41.837: [upf] INFO: UE F-SEID[UP:0x937 CP:0x83c] APN[internet] PDN-Type[1] IPv4[10.45.0.2] IPv6 (../src/upf/context.c:485)
02/02 12:38:41.840: [gtp] INFO: gtp_connect() [192.168.56.111]:2152 (../lib/gtp/path.c:60)

ターミナルA：gNB

root@u222c111:~# cd ~/UERANSIM && \
build/nr-gnb -c config/open5gs-gnb.yaml

UERANSIM v3.2.6
[2024-02-02 12:38:34.129] [sctp] [info] Trying to establish SCTP connection... (192.168.57.113:38412)
[2024-02-02 12:38:34.152] [sctp] [info] SCTP connection established (192.168.57.113:38412)
[2024-02-02 12:38:34.152] [sctp] [debug] SCTP association setup ascId[3]
[2024-02-02 12:38:34.152] [ngap] [debug] Sending NG Setup Request
[2024-02-02 12:38:34.157] [ngap] [debug] NG Setup Response received
[2024-02-02 12:38:34.158] [ngap] [info] NG Setup procedure is successful
[2024-02-02 12:38:41.605] [rrc] [debug] UE[1] new signal detected
[2024-02-02 12:38:41.606] [rrc] [info] RRC Setup for UE[1]
[2024-02-02 12:38:41.606] [ngap] [debug] Initial NAS message received from UE[1]
[2024-02-02 12:38:41.625] [ngap] [debug] Initial Context Setup Request received
[2024-02-02 12:38:41.839] [ngap] [info] PDU session resource(s) setup for UE[1] count[1]

ターミナルB：UE

root@u222c111:~# cd ~/UERANSIM && \
build/nr-ue -c config/open5gs-ue.yaml

UERANSIM v3.2.6
[2024-02-02 12:38:41.605] [nas] [info] UE switches to state [MM-DEREGISTERED/PLMN-SEARCH]
[2024-02-02 12:38:41.605] [rrc] [debug] New signal detected for cell[1], total [1] cells in coverage
[2024-02-02 12:38:41.605] [nas] [info] Selected plmn[999/70]
[2024-02-02 12:38:41.605] [rrc] [info] Selected cell plmn[999/70] tac[1] category[SUITABLE]
[2024-02-02 12:38:41.605] [nas] [info] UE switches to state [MM-DEREGISTERED/PS]
[2024-02-02 12:38:41.605] [nas] [info] UE switches to state [MM-DEREGISTERED/NORMAL-SERVICE]
[2024-02-02 12:38:41.605] [nas] [debug] Initial registration required due to [MM-DEREG-NORMAL-SERVICE]
[2024-02-02 12:38:41.605] [nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 12:38:41.606] [nas] [debug] Sending Initial Registration
[2024-02-02 12:38:41.606] [nas] [info] UE switches to state [MM-REGISTER-INITIATED]
[2024-02-02 12:38:41.606] [rrc] [debug] Sending RRC Setup Request
[2024-02-02 12:38:41.606] [rrc] [info] RRC connection established
[2024-02-02 12:38:41.606] [rrc] [info] UE switches to state [RRC-CONNECTED]
[2024-02-02 12:38:41.606] [nas] [info] UE switches to state [CM-CONNECTED]
[2024-02-02 12:38:41.613] [nas] [debug] Authentication Request received
[2024-02-02 12:38:41.617] [nas] [debug] Security Mode Command received
[2024-02-02 12:38:41.617] [nas] [debug] Selected integrity[2] ciphering[0]
[2024-02-02 12:38:41.626] [nas] [debug] Registration accept received
[2024-02-02 12:38:41.626] [nas] [info] UE switches to state [MM-REGISTERED/NORMAL-SERVICE]
[2024-02-02 12:38:41.626] [nas] [debug] Sending Registration Complete
[2024-02-02 12:38:41.626] [nas] [info] Initial Registration is successful
[2024-02-02 12:38:41.626] [nas] [debug] Sending PDU Session Establishment Request
[2024-02-02 12:38:41.626] [nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 12:38:41.830] [nas] [debug] Configuration Update Command received
[2024-02-02 12:38:41.840] [nas] [debug] PDU Session Establishment Accept received
[2024-02-02 12:38:41.840] [nas] [info] PDU Session establishment is successful PSI[1]
[2024-02-02 12:38:41.845] [app] [info] Connection setup for PDU session[1] is successful, TUN interface[uesimtun0, 10.45.0.2] is up.

ターミナルC：通信確認

root@u222c111:~# ip route add default dev uesimtun0

root@u222c111:~# ping 192.168.33.1
PING 192.168.33.1 (192.168.33.1) 56(84) bytes of data.
64 bytes from 192.168.33.1: icmp_seq=1 ttl=254 time=1.66 ms
64 bytes from 192.168.33.1: icmp_seq=2 ttl=254 time=1.63 ms
64 bytes from 192.168.33.1: icmp_seq=3 ttl=254 time=1.66 ms
^C
--- 192.168.33.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 1.626/1.647/1.659/0.015 ms

＜補足＞
5.簡易動作確認の最後にも記載しましたが、インターネット向け通信については、NATルータ上で設定を行ってください。
ここまでの正常動作確認ができたら、Vyosを導入した構成変更後においても、5G Core内の動作が正常であることを担保できています。
UEアタッチまでのシーケンスをPcapしたファイルはこちらにアップしました。

8-1.UEの起動と通信確認

追記箇所：青文字
ターミナルB：UE

cd ~/UERANSIM && \
build/nr-ue -c config/open5gs-ue.yaml -n 3

ターミナルC：通信確認

ip route add default dev uesimtun0

＜インターフェース指定によるPingとcurlコマンド＞
ping -I uesimtun0 192.168.33.1
ping -I uesimtun1 192.168.33.1
ping -I uesimtun2 192.168.33.1
curl --interface uesimtun0 www.google.com
curl --interface uesimtun1 www.google.com
curl --interface uesimtun2 www.google.com

＜補足＞
この状態でifconfigを実施すると、uesimtun0～2までTunインターフェースが生成されています。

ターミナルC：ifconfig出力例

uesimtun0: flags=369  mtu 1400
        inet 10.45.0.2  netmask 255.255.255.255  destination 10.45.0.2
        inet6 fe80::fde3:ddca:d856:1830  prefixlen 64  scopeid 0x20
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 36  bytes 23196 (23.1 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 49  bytes 3086 (3.0 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

uesimtun1: flags=369  mtu 1400
        inet 10.45.0.3  netmask 255.255.255.255  destination 10.45.0.3
        inet6 fe80::e37c:d6c3:702f:c37e  prefixlen 64  scopeid 0x20
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 2  bytes 168 (168.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 13  bytes 808 (808.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

uesimtun2: flags=369  mtu 1400
        inet 10.45.0.4  netmask 255.255.255.255  destination 10.45.0.4
        inet6 fe80::bf1f:4cc2:2d60:7279  prefixlen 64  scopeid 0x20
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 500  (UNSPEC)
        RX packets 2  bytes 168 (168.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 13  bytes 808 (808.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

8-2.UE複数起動時のgNBとUEのログ出力例

ターミナルA：gNB

root@u222c111:~# cd ~/UERANSIM && \
build/nr-gnb -c config/open5gs-gnb.yaml

UERANSIM v3.2.6
[2024-02-02 19:16:13.090] [sctp] [info] Trying to establish SCTP connection... (192.168.57.113:38412)
[2024-02-02 19:16:13.100] [sctp] [info] SCTP connection established (192.168.57.113:38412)
[2024-02-02 19:16:13.101] [sctp] [debug] SCTP association setup ascId[3]
[2024-02-02 19:16:13.101] [ngap] [debug] Sending NG Setup Request
[2024-02-02 19:16:13.110] [ngap] [debug] NG Setup Response received
[2024-02-02 19:16:13.110] [ngap] [info] NG Setup procedure is successful
[2024-02-02 19:16:42.062] [rrc] [debug] UE[1] new signal detected
[2024-02-02 19:16:42.063] [rrc] [debug] UE[2] new signal detected
[2024-02-02 19:16:42.063] [rrc] [debug] UE[3] new signal detected
[2024-02-02 19:16:42.068] [rrc] [info] RRC Setup for UE[1]
[2024-02-02 19:16:42.068] [rrc] [info] RRC Setup for UE[2]
[2024-02-02 19:16:42.068] [ngap] [debug] Initial NAS message received from UE[1]
[2024-02-02 19:16:42.069] [ngap] [debug] Initial NAS message received from UE[2]
[2024-02-02 19:16:42.070] [rrc] [info] RRC Setup for UE[3]
[2024-02-02 19:16:42.070] [ngap] [debug] Initial NAS message received from UE[3]
[2024-02-02 19:16:42.097] [ngap] [debug] Initial Context Setup Request received
[2024-02-02 19:16:42.098] [ngap] [debug] Initial Context Setup Request received
[2024-02-02 19:16:42.102] [ngap] [debug] Initial Context Setup Request received
[2024-02-02 19:16:42.117] [ngap] [info] PDU session resource(s) setup for UE[1] count[1]
[2024-02-02 19:16:42.118] [ngap] [info] PDU session resource(s) setup for UE[2] count[1]
[2024-02-02 19:16:42.119] [ngap] [info] PDU session resource(s) setup for UE[3] count[1]

ターミナルB：UE

root@u222c111:~# cd ~/UERANSIM && \
build/nr-ue -c config/open5gs-ue.yaml -n 3

UERANSIM v3.2.6
[2024-02-02 19:16:42.062] [999700000000002|nas] [info] UE switches to state [MM-DEREGISTERED/PLMN-SEARCH]
[2024-02-02 19:16:42.062] [999700000000001|nas] [info] UE switches to state [MM-DEREGISTERED/PLMN-SEARCH]
[2024-02-02 19:16:42.062] [999700000000003|nas] [info] UE switches to state [MM-DEREGISTERED/PLMN-SEARCH]
[2024-02-02 19:16:42.063] [999700000000002|rrc] [debug] New signal detected for cell[1], total [1] cells in coverage
[2024-02-02 19:16:42.063] [999700000000002|nas] [info] Selected plmn[999/70]
[2024-02-02 19:16:42.063] [999700000000001|rrc] [debug] New signal detected for cell[1], total [1] cells in coverage
[2024-02-02 19:16:42.063] [999700000000002|rrc] [info] Selected cell plmn[999/70] tac[1] category[SUITABLE]
[2024-02-02 19:16:42.064] [999700000000002|nas] [info] UE switches to state [MM-DEREGISTERED/PS]
[2024-02-02 19:16:42.064] [999700000000002|nas] [info] UE switches to state [MM-DEREGISTERED/NORMAL-SERVICE]
[2024-02-02 19:16:42.064] [999700000000002|nas] [debug] Initial registration required due to [MM-DEREG-NORMAL-SERVICE]
[2024-02-02 19:16:42.064] [999700000000001|nas] [info] Selected plmn[999/70]
[2024-02-02 19:16:42.064] [999700000000001|rrc] [info] Selected cell plmn[999/70] tac[1] category[SUITABLE]
[2024-02-02 19:16:42.064] [999700000000001|nas] [info] UE switches to state [MM-DEREGISTERED/PS]
[2024-02-02 19:16:42.064] [999700000000001|nas] [info] UE switches to state [MM-DEREGISTERED/NORMAL-SERVICE]
[2024-02-02 19:16:42.064] [999700000000001|nas] [debug] Initial registration required due to [MM-DEREG-NORMAL-SERVICE]
[2024-02-02 19:16:42.064] [999700000000002|nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 19:16:42.064] [999700000000002|nas] [debug] Sending Initial Registration
[2024-02-02 19:16:42.065] [999700000000002|nas] [info] UE switches to state [MM-REGISTER-INITIATED]
[2024-02-02 19:16:42.068] [999700000000002|rrc] [debug] Sending RRC Setup Request
[2024-02-02 19:16:42.068] [999700000000001|nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 19:16:42.068] [999700000000001|nas] [debug] Sending Initial Registration
[2024-02-02 19:16:42.068] [999700000000001|rrc] [debug] Sending RRC Setup Request
[2024-02-02 19:16:42.068] [999700000000001|nas] [info] UE switches to state [MM-REGISTER-INITIATED]
[2024-02-02 19:16:42.068] [999700000000002|rrc] [info] RRC connection established
[2024-02-02 19:16:42.068] [999700000000002|rrc] [info] UE switches to state [RRC-CONNECTED]
[2024-02-02 19:16:42.068] [999700000000002|nas] [info] UE switches to state [CM-CONNECTED]
[2024-02-02 19:16:42.069] [999700000000003|rrc] [debug] New signal detected for cell[1], total [1] cells in coverage
[2024-02-02 19:16:42.069] [999700000000001|rrc] [info] RRC connection established
[2024-02-02 19:16:42.069] [999700000000001|rrc] [info] UE switches to state [RRC-CONNECTED]
[2024-02-02 19:16:42.069] [999700000000001|nas] [info] UE switches to state [CM-CONNECTED]
[2024-02-02 19:16:42.069] [999700000000003|nas] [info] Selected plmn[999/70]
[2024-02-02 19:16:42.069] [999700000000003|rrc] [info] Selected cell plmn[999/70] tac[1] category[SUITABLE]
[2024-02-02 19:16:42.069] [999700000000003|nas] [info] UE switches to state [MM-DEREGISTERED/PS]
[2024-02-02 19:16:42.069] [999700000000003|nas] [info] UE switches to state [MM-DEREGISTERED/NORMAL-SERVICE]
[2024-02-02 19:16:42.069] [999700000000003|nas] [debug] Initial registration required due to [MM-DEREG-NORMAL-SERVICE]
[2024-02-02 19:16:42.069] [999700000000003|nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 19:16:42.069] [999700000000003|nas] [debug] Sending Initial Registration
[2024-02-02 19:16:42.069] [999700000000003|nas] [info] UE switches to state [MM-REGISTER-INITIATED]
[2024-02-02 19:16:42.069] [999700000000003|rrc] [debug] Sending RRC Setup Request
[2024-02-02 19:16:42.070] [999700000000003|rrc] [info] RRC connection established
[2024-02-02 19:16:42.070] [999700000000003|rrc] [info] UE switches to state [RRC-CONNECTED]
[2024-02-02 19:16:42.070] [999700000000003|nas] [info] UE switches to state [CM-CONNECTED]
[2024-02-02 19:16:42.076] [999700000000002|nas] [debug] Authentication Request received
[2024-02-02 19:16:42.080] [999700000000001|nas] [debug] Authentication Request received
[2024-02-02 19:16:42.080] [999700000000003|nas] [debug] Authentication Request received
[2024-02-02 19:16:42.082] [999700000000002|nas] [debug] Security Mode Command received
[2024-02-02 19:16:42.082] [999700000000002|nas] [debug] Selected integrity[2] ciphering[0]
[2024-02-02 19:16:42.084] [999700000000001|nas] [debug] Security Mode Command received
[2024-02-02 19:16:42.084] [999700000000001|nas] [debug] Selected integrity[2] ciphering[0]
[2024-02-02 19:16:42.086] [999700000000003|nas] [debug] Security Mode Command received
[2024-02-02 19:16:42.086] [999700000000003|nas] [debug] Selected integrity[2] ciphering[0]
[2024-02-02 19:16:42.098] [999700000000002|nas] [debug] Registration accept received
[2024-02-02 19:16:42.098] [999700000000002|nas] [info] UE switches to state [MM-REGISTERED/NORMAL-SERVICE]
[2024-02-02 19:16:42.098] [999700000000002|nas] [debug] Sending Registration Complete
[2024-02-02 19:16:42.098] [999700000000002|nas] [info] Initial Registration is successful
[2024-02-02 19:16:42.098] [999700000000002|nas] [debug] Sending PDU Session Establishment Request
[2024-02-02 19:16:42.098] [999700000000002|nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 19:16:42.098] [999700000000001|nas] [debug] Registration accept received
[2024-02-02 19:16:42.098] [999700000000001|nas] [info] UE switches to state [MM-REGISTERED/NORMAL-SERVICE]
[2024-02-02 19:16:42.098] [999700000000001|nas] [debug] Sending Registration Complete
[2024-02-02 19:16:42.098] [999700000000001|nas] [info] Initial Registration is successful
[2024-02-02 19:16:42.098] [999700000000001|nas] [debug] Sending PDU Session Establishment Request
[2024-02-02 19:16:42.098] [999700000000001|nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 19:16:42.103] [999700000000003|nas] [debug] Registration accept received
[2024-02-02 19:16:42.103] [999700000000003|nas] [info] UE switches to state [MM-REGISTERED/NORMAL-SERVICE]
[2024-02-02 19:16:42.103] [999700000000003|nas] [debug] Sending Registration Complete
[2024-02-02 19:16:42.103] [999700000000003|nas] [info] Initial Registration is successful
[2024-02-02 19:16:42.103] [999700000000003|nas] [debug] Sending PDU Session Establishment Request
[2024-02-02 19:16:42.103] [999700000000003|nas] [debug] UAC access attempt is allowed for identity[0], category[MO_sig]
[2024-02-02 19:16:42.103] [999700000000002|nas] [debug] Configuration Update Command received
[2024-02-02 19:16:42.103] [999700000000001|nas] [debug] Configuration Update Command received
[2024-02-02 19:16:42.104] [999700000000003|nas] [debug] Configuration Update Command received
[2024-02-02 19:16:42.118] [999700000000002|nas] [debug] PDU Session Establishment Accept received
[2024-02-02 19:16:42.118] [999700000000002|nas] [info] PDU Session establishment is successful PSI[1]
[2024-02-02 19:16:42.120] [999700000000003|nas] [debug] PDU Session Establishment Accept received
[2024-02-02 19:16:42.120] [999700000000003|nas] [info] PDU Session establishment is successful PSI[1]
[2024-02-02 19:16:42.121] [999700000000001|nas] [debug] PDU Session Establishment Accept received
[2024-02-02 19:16:42.121] [999700000000001|nas] [info] PDU Session establishment is successful PSI[1]
[2024-02-02 19:16:42.127] [999700000000002|app] [info] Connection setup for PDU session[1] is successful, TUN interface[uesimtun0, 10.45.0.2] is up.
[2024-02-02 19:16:42.135] [999700000000001|app] [info] Connection setup for PDU session[1] is successful, TUN interface[uesimtun1, 10.45.0.3] is up.
[2024-02-02 19:16:42.141] [999700000000003|app] [info] Connection setup for PDU session[1] is successful, TUN interface[uesimtun2, 10.45.0.4] is up.

以上です。

1-1.環境

全ての端末(仮想マシン)はVMWare上に構築しています。

VMWare : VMware(R) Workstation 15 Pro 15.5.1 build-15018445 

wso2用仮想マシン
OS : Ubuntu 22.04.2
Java : openjdk-11
Keycloak : 6.1.0
OpenSSL : 3.0.2

Wordpress用仮想マシン
bitnami-wordpress-5.9.0
OVAからデプロイ

Active Directory用仮想マシン
OS : Windows Server 2019

ClientPC用仮想マシン
OS : Windows10

1-2.全体の流れ

• ドメイン登録
• AD構築
• 証明書発行
• wso2インストール
• wso2各種設定
• Wordpress インストール&各種設定
• 動作確認

1-3.全体構成

fig.1

IPアドレスやドメイン名は自身の環境に置き換えてください。
私の環境ではヘアピンNATができないためBBルータが2台あります。
BBルータAの方で、TCP9443でポートフォワードの設定をしています。*2

4-1.openssl.cnfの設定

/etc/ssl/openssl.cnfファイルを編集します。
青文字箇所が変更した部分となります。

vi /etc/ssl/openssl.cnf
＝＝＝＝ snip ＝＝＝＝
[ CA_default ]

dir             = /etc/ssl/demoCA      # Where everything is kept  ./demoCAから絶対Pathに変更
certs           = $dir/certs            # Where the issued certs are kept

＝＝＝＝ snip ＝＝＝＝
[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = JP
countryName_min                 = 2
countryName_max                 = 2

stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Tokyo

localityName                    = Locality Name (eg, city)
localityName_default            = Chiyoda-ku

0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = f5.si

# we can do this but it is not needed normally :-)
#1.organizationName             = Second Organization Name (eg, company)
#1.organizationName_default     = World Wide Web Pty Ltd

organizationalUnitName          = Organizational Unit Name (eg, section)
#organizationalUnitName_default =

commonName                      = Common Name (e.g. server FQDN or YOUR name)
commonName_max                  = 64
＝＝＝＝ snip ＝＝＝＝

4-2.CAの構築

/usr/lib/ssl/misc/CA.plを使用して、CAを構築していきます。

cd /etc/ssl
/usr/lib/ssl/misc/CA.pl -newca

＜出力例＞

root@u222c96:/etc/ssl# /usr/lib/ssl/misc/CA.pl -newca
CA certificate filename (or enter to create)　＜ー空Enter

Making CA certificate ...
openssl req  -new -keyout ./demoCA/private/cakey.pem -out ./demoCA/careq.pem
..+......+....+..+.......+.....+.......+.....+....+.....+.+......+........+....+...+.................+.+..+...+....+...+.....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.....+...+..+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..+.+.....+...+.+..+...+......+.........+....+...................................+..........+......+..+.......+............+......+.................+.......+...+......+.....+.....................+......+.......+.....+......+....+..+...+............+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
..+.+..............+.+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.....+.+...+.....+.+.....+....+..+.........+..........+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.....+.....+......+...+....+......+..+.........+...+.+......+......+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Enter PEM pass phrase: ＜ーパスフレーズを入力
Verifying - Enter PEM pass phrase: ＜ーパスフレーズを入力
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]: ＜ー空Enter
State or Province Name (full name) [Tokyo]: ＜ー空Enter
Locality Name (eg, city) [Chiyoda-ku]: ＜ー空Enter
Organization Name (eg, company) [f5.si]: ＜ー空Enter
Organizational Unit Name (eg, section) : ＜ー空Enter
Common Name (e.g. server FQDN or YOUR name) :CA.f5.si ＜ーCAのCommon Nameを手入力。任意の名前でOK
Email Address : ＜ー空Enter

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password : ＜ー空Enter
An optional company name []: ＜ー空Enter
==> 0
openssl ca  -create_serial -out ./demoCA/cacert.pem -days 1095 -batch -keyfile ./demoCA/private/cakey.pem -selfsign -extensions v3_ca -infiles ./demoCA/careq.pem
Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem: ＜ー最初に入力した(cakeyの)パスフレーズを再度入力
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            6e:fa:be:0b:64:8b:ea:4c:c2:ee:c2:7b:62:b3:64:5f:52:40:59:2b
        Validity
            Not Before: Nov 23 00:12:36 2023 GMT
            Not After : Nov 22 00:12:36 2026 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Tokyo
            organizationName          = f5.si
            commonName                = CA.f5.si
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                3B:BE:09:A3:AF:51:5A:6A:D5:3F:DD:C1:D2:60:4A:88:E9:F8:79:BF
            X509v3 Authority Key Identifier:
                3B:BE:09:A3:AF:51:5A:6A:D5:3F:DD:C1:D2:60:4A:88:E9:F8:79:BF
            X509v3 Basic Constraints: critical
                CA:TRUE
Certificate is to be certified until Nov 22 00:12:36 2026 GMT (1095 days)

Write out database with 1 new entries
Data Base Updated
==> 0
CA certificate is in ./demoCA/cacert.pem

これにより、/etc/ssl配下に、demoCAというディレクトリが作成されます。
/etc/ssl/demoCA配下に、CAのルート証明書が格納されています。
/etc/ssl/demoCA/private配下に、CAのキーファイルが格納されています。

4-3.Idpで利用する証明書を発行

/etc/ssl/demoCA配下でIdpの証明書を発行します。
初めに、SAN(Subject Altanative Name)設定ファイルを作成します。

cat > /etc/ssl/demoCA/subjectnames.txt <<EOF
subjectAltName = DNS:idp.f5.si
EOF

cd /etc/ssl/demoCA
openssl genrsa -out idp.key 2048
openssl req -utf8 -new -key idp.key -out idp.csr
openssl ca -in idp.csr -out idp.pem -extfile subjectnames.txt

＜出力例＞

root@u222c96:/etc/ssl/demoCA# cd /etc/ssl/demoCA
root@u222c96:/etc/ssl/demoCA# openssl genrsa -out idp.key 2048
root@u222c96:/etc/ssl/demoCA# openssl req -utf8 -new -key idp.key -out idp.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]: ＜ー空Enter
State or Province Name (full name) [Tokyo]: ＜ー空Enter
Locality Name (eg, city) [Chiyoda-ku]: ＜ー空Enter
Organization Name (eg, company) [f5.si]: ＜ー空Enter
Organizational Unit Name (eg, section) : ＜ー空Enter
Common Name (e.g. server FQDN or YOUR name) :idp.f5.si ＜ーidp.f5.siと入力
Email Address :

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password : ＜ー空Enter
An optional company name []: ＜ー空Enter

root@u222c96:/etc/ssl/demoCA# openssl ca -in idp.csr -out idp.pem -extfile subjectnames.txt
Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for /etc/ssl/demoCA/private/cakey.pem: ＜ーcakeyのパスフレーズを再度入力
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            6e:fa:be:0b:64:8b:ea:4c:c2:ee:c2:7b:62:b3:64:5f:52:40:59:2c
        Validity
            Not Before: Nov 23 06:24:02 2023 GMT
            Not After : Nov 22 06:24:02 2024 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Tokyo
            organizationName          = f5.si
            commonName                = idp.f5.si
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:idp.f5.si
Certificate is to be certified until Nov 22 06:24:02 2024 GMT (365 days)
Sign the certificate? [y/n]:y ＜ーyを入力しEnter


1 out of 1 certificate requests certified, commit? [y/n]y ＜ーyを入力しEnter
Write out database with 1 new entries
Data Base Updated

4-4.発行した証明書の確認

以下ファイルのうち、cacert.pem, idp.pem, idp.keyは後ほど使用しますので、ClientPC内などに保存しておきます。

root@u222c96:/etc/ssl/demoCA# ls
cacert.pem  crl        idp.key    index.txt.attr      newcerts  serial.old
careq.pem   crlnumber  idp.pem    index.txt.attr.old  private   subjectnames.txt
certs       idp.csr    index.txt  index.txt.old       serial

5-1.OpenJDK11インストール

OpenJDK11をインストールします。
unzipは後ほど使用するため一緒にインストールしてしまいます。

apt update && \
apt -y install openjdk-11-jdk unzip

インストール完了後、以下のコマンドでPathを通します。

cat > /etc/profile.d/java.sh <<'EOF'
export JAVA_HOME=$(dirname $(dirname $(readlink $(readlink $(which java)))))
export PATH=$PATH:$JAVA_HOME/bin
EOF

source /etc/profile.d/java.sh

java --version

＜出力例＞
以下のように出力されればOKです。

root@u222c96:~# java --version
openjdk 11.0.21 2023-10-17
OpenJDK Runtime Environment (build 11.0.21+9-post-Ubuntu-0ubuntu122.04)
OpenJDK 64-Bit Server VM (build 11.0.21+9-post-Ubuntu-0ubuntu122.04, mixed mode, sharing)

5-2.wso2のDL

以下のサイトからDLしてください。ファイル名はwso2is-6.1.0.zipとなります。*5
wso2.com

DLが完了したら、wso2is-6.1.0.zipを/root/tmp/配下にコピーしておいてください。
コピー後、以下のコマンドで解凍します。

cd /root/tmp
unzip wso2is-6.1.0.zip

以降は、/root/tmp/wso2is-6.1.0/配下で作業をしていきます。

5-3.JKS(Java Key Store)ファイルの準備

5-3-1.証明書のコピー

4-4.で発行した証明書を/root/tmp/wso2is-6.1.0/repository/resources/security/配下にコピーします。

cp /etc/ssl/demoCA/cacert.pem /root/tmp/wso2is-6.1.0/repository/resources/security/
cp /etc/ssl/demoCA/idp.pem /root/tmp/wso2is-6.1.0/repository/resources/security/
cp /etc/ssl/demoCA/idp.key /root/tmp/wso2is-6.1.0/repository/resources/security/

5-3-2.証明書をpfx形式に変換

cacert.pem, idp.pem, idp.keyの3つの証明書を一旦pfx形式に変換します。

cd /root/tmp/wso2is-6.1.0/repository/resources/security

openssl pkcs12 -export \
-in idp.pem \
-inkey idp.key \
-name "idp.f5.si" \
-certfile cacert.pem \
-out idp-f5-si.pfx

＜出力例＞
以下のように出力されればOKです。

root@u222c96:~/tmp/wso2is-6.1.0/repository/resources/security# openssl pkcs12 -export \
-in idp.pem \
-inkey idp.key \
-name "idp.f5.si" \
-certfile cacert.pem \
-out idp-f5-si.pfx
Enter Export Password: <-パスフレーズを入力
Verifying - Enter Export Password:  <-パスフレーズを入力

5-3-3.pfx形式をjks形式に変換

続いて、idp-f5-si.pfxをjks形式に変換します。

keytool -importkeystore \
-srckeystore idp-f5-si.pfx \
-srcstoretype pkcs12 \
-destkeystore idp-f5-si.jks \
-deststoretype JKS

＜出力例＞
以下のように出力されればOKです。

root@u222c96:~/tmp/wso2is-6.1.0/repository/resources/security# keytool -importkeystore \
-srckeystore idp-f5-si.pfx \
-srcstoretype pkcs12 \
-destkeystore idp-f5-si.jks \
-deststoretype JKS
Importing keystore idp-f5-si.pfx to idp-f5-si.jks...
Enter destination keystore password: <-パスフレーズを入力
Re-enter new password: <-パスフレーズを入力
Enter source keystore password: <-パスフレーズを入力
Entry for alias idp.f5.si successfully imported.
Import command completed:  1 entries successfully imported, 0 entries failed or cancelled

補足1
以降、以下のようなWarningメッセージが表示されますが無視してください。

The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using～

補足2
wso2の仕様上、JKSのKeystore passwordとPrivate Key passwordを統一する必要があるため、各種パスワードやパスフレーズは「Password!」などに統一しておいた方が良いです。*6

5-3-4.証明書をTruststoreにインポート準備

一旦、idp-f5-si.jksから証明書をPEM形式で取り出します。

keytool -export \
-alias "idp.f5.si" \
-keystore idp-f5-si.jks \
-file idp-f5-si.pem

＜出力例＞
以下のように出力されればOKです。

root@u222c96:~/tmp/wso2is-6.1.0/repository/resources/security# keytool -export \
-alias "idp.f5.si" \
-keystore idp-f5-si.jks \
-file idp-f5-si.pem
Enter keystore password: <-パスフレーズを入力
Certificate stored in file 

5-3-5.証明書をTruststoreにインポート

取り出した証明書をclient-truststore.jksにインポートします。*7

keytool -import \
-alias idp.f5.si \
-file idp-f5-si.pem \
-keystore client-truststore.jks \
-storepass wso2carbon

＜出力例＞
以下のように出力されればOKです。

root@u222c96:~/tmp/wso2is-6.1.0/repository/resources/security# keytool -import \
-alias idp.f5.si \
-file idp-f5-si.pem \
-keystore client-truststore.jks \
-storepass wso2carbon
Owner: CN=idp.f5.si, O=f5.si, ST=Tokyo, C=JP
Issuer: CN=CA.f5.si, O=f5.si, ST=Tokyo, C=JP

--- snip ---

Trust this certificate? [no]:  yes <- yesと入力しEnter
Certificate was added to keystore

5-4.wso2の初期設定

deployment.tomlファイルを編集していきます。

vi /root/tmp/wso2is-6.1.0/repository/conf/deployment.toml

[server]
hostname = "idp.f5.si" <-localhostから変更
node_ip = "192.168.33.96" <-127.0.0.1から変更

--- snip ---
最終行に以下を追記

[keystore.tls]
file_name = "idp-f5-si.jks"
type = "JKS"
password = "Password!"
alias = "idp.f5.si"
key_password = "Password!"

5-5.wso2の起動

/root/tmp/wso2is-6.1.0/bin配下にあるshスクリプトを実行します。

cd /root/tmp/wso2is-6.1.0/bin

./wso2server.sh

＜出力例＞
以下のように出力されればOKです。

root@u222c96:~/tmp/wso2is-6.1.0/bin# ./wso2server.sh
JAVA_HOME environment variable is set to /usr/lib/jvm/java-11-openjdk-amd64
CARBON_HOME environment variable is set to /root/tmp/wso2is-6.1.0
Using Java memory options: -Xms256m -Xmx1024m
[2023-12-03 09:51:53,243]   INFO {org.ops4j.pax.logging.spi.support.EventAdminConfigurationNotifier} - Sending Event Admin notification (configuration successful) to org/ops4j/pax/logging/Configuration
[2023-12-03 09:51:53,416]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Starting WSO2 Carbon...
[2023-12-03 09:51:53,417]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Operating System : Linux 5.15.0-72-generic, amd64
[2023-12-03 09:51:53,418]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Java Home        : /usr/lib/jvm/java-11-openjdk-amd64
[2023-12-03 09:51:53,418]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Java Version     : 11.0.21
[2023-12-03 09:51:53,418]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Java VM          : OpenJDK 64-Bit Server VM 11.0.21+9-post-Ubuntu-0ubuntu122.04,Ubuntu
[2023-12-03 09:51:53,419]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Carbon Home      : /root/tmp/wso2is-6.1.0
[2023-12-03 09:51:53,419]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - Java Temp Dir    : /root/tmp/wso2is-6.1.0/tmp
[2023-12-03 09:51:53,419]   INFO {org.wso2.carbon.core.internal.CarbonCoreActivator} - User             : root, en-US, Asia/Tokyo
[2023-12-03 09:51:53,624]   INFO {org.wso2.carbon.event.output.adapter.kafka.internal.ds.KafkaEventAdapterServiceDS} - Successfully deployed the Kafka output event adaptor service
[2023-12-03 09:51:53,841]   INFO {org.wso2.carbon.identity.hash.provider.pbkdf2.internal.PBKDF2HashServiceComponent} - PBKDF2 bundle activated successfully.

--- snip ---

[2023-12-03 09:52:12,408]   INFO {openjpa.Runtime} - Starting OpenJPA 2.2.0-wso2v1
[2023-12-03 09:52:12,465]   INFO {openjpa.jdbc.JDBC} - Using dictionary class "org.apache.openjpa.jdbc.sql.H2Dictionary".
[2023-12-03 09:52:12,712]   INFO {org.wso2.carbon.core.transports.http.HttpTransportListener} - HTTP port        : 9763
[2023-12-03 09:52:12,713]   INFO {org.wso2.carbon.core.transports.http.HttpsTransportListener} - HTTPS port       : 9443
[2023-12-03 09:52:12,799]   WARN {org.apache.tomcat.util.net.SSLUtilBase} - The trusted certificate with alias [secomscrootca1] and DN [OU=Security Communication RootCA1, O=SECOM Trust.net, C=JP] is not valid due to [NotAfter: Sat Sep 30 13:20:49 JST 2023]. Certificates signed by this trusted certificate WILL be accepted
[2023-12-03 09:52:12,809]   INFO {org.apache.tomcat.util.net.NioEndpoint.certificate} - Connector [https-jsse-nio-9443], TLS virtual host [_default_], certificate type [UNDEFINED] configured from [/root/tmp/wso2is-6.1.0/repository/resources/security/idp-f5-si.jks] using alias [idp.f5.si] and with trust store [/root/tmp/wso2is-6.1.0/repository/resources/security/client-truststore.jks]
[2023-12-03 09:52:12,838]   INFO {org.wso2.carbon.bpel.core.ode.integration.BPELSchedulerInitializer} - Starting BPS Scheduler
[2023-12-03 09:52:12,849]   INFO {openjpa.Runtime} - Starting OpenJPA 2.2.0-wso2v1
[2023-12-03 09:52:12,850]   INFO {openjpa.jdbc.JDBC} - Using dictionary class "org.apache.openjpa.jdbc.sql.H2Dictionary" (H2 2.1.210 (2022-01-17) ,H2 JDBC Driver 2.1.210 (2022-01-17)).
[2023-12-03 09:52:12,893]   INFO {org.wso2.carbon.core.internal.StartupFinalizerServiceComponent} - Server           :  WSO2 Identity Server-6.1.0
[2023-12-03 09:52:12,895]   INFO {org.wso2.carbon.core.internal.StartupFinalizerServiceComponent} - WSO2 Carbon started in 23 sec
[2023-12-03 09:52:13,197]   INFO {org.apache.jasper.servlet.TldScanner} - At least one JAR was scanned for TLDs yet contained no TLDs. Enable debug logging for this logger for a complete list of JARs that were scanned but no TLDs were found in them. Skipping unneeded JARs during scanning can improve startup time and JSP compilation time.
[2023-12-03 09:52:13,216]   INFO {org.wso2.carbon.ui.internal.CarbonUIServiceComponent} - Mgt Console URL  : https://idp.f5.si:9443/carbon/
[2023-12-03 09:52:13,250]   INFO {org.wso2.identity.apps.common.internal.AppsCommonServiceComponent} - My Account URL : https://idp.f5.si:9443/myaccount
[2023-12-03 09:52:13,251]   INFO {org.wso2.identity.apps.common.internal.AppsCommonServiceComponent} - Console URL : https://idp.f5.si:9443/console
[2023-12-03 09:52:13,252] []  INFO {org.wso2.identity.apps.common.internal.AppsCommonServiceComponent} - Identity apps common service component activated successfully.

wso2は、Ctrl＋cで停止させることができます。

5-6.wso2管理コンソールログイン

ClientPCなどから管理コンソールにログインします。
https://idp.f5.si:9443/carbon/にアクセス
Username: admin
Password: admin

以降は、ClientPC側から、https://idp.f5.si:9443/carbon/にアクセスしながら設定を進めて行きます。
当然、Internetに晒されているため、SrcIPをGlobalIP-Bだけに絞るなど、BBルータA上で各種セキュリティ設定を行っておいてください。*8

https://idp.f5.si:9443/carbon/にアクセスした際、ブラウザ上に証明書の警告が表示されますので、/etc/ssl/demoCA/cacert.pemをクライアントPCの信頼されたルート証明機関にインストールしておいてください。

6-1.テナントの作成

wso2上にテナントを作成します。*10

6-1-1.新規テナントの作成

Configure＞Mutitenancy＞Add New Tenantをクリック
必要項目を記載します。

以下のように設定してください。そして、Saveをクリック。

テナント作成後、
Configure＞Mutitenancy＞View Tenantsをクリックすると、テナントの詳細が確認できます。
このテナント上で各種設定を行っていきます。
右上のSign-outをクリックして、一旦サインアウトします。

6-1-2.新規テナントへのログイン

テナントへログインする際は、前項で作成したアカウントでログインしてください。
Username：admin@example.com *11
Password：Password!
以降はこのテナントで作業しますので、上記クレデンシャルを入力してwso2にログインしてください。

6-6.ADとの連携設定

最初にGUIで設定後、CLIで追加設定を行います。*12

6-6-1.GUIでの設定

Main＞Identity＞User Stores＞Addをクリック
必要項目を記載します。

＜Optional＞

＜Advanced＞

以下のように設定してください。そして、Addをクリック。

6-6-2.CLIでの追加設定

設定ファイルを直接編集するため、一旦wso2をCtrl＋cで停止させます。
作成したテナントのUser Stores設定ファイルは以下のPathに存在します。*13
/root/tmp/wso2is-6.1.0/repository/tenants/1/userstores/example_com.xml
このファイルに直接編集＆追記していきます。
赤文字が修正、青文字は行を追記します。

vi /root/tmp/wso2is-6.1.0/repository/tenants/1/userstores/example_com.xml

<Property name="UserNameSearchFilter">(&amp; (objectClass=user)(|(userPrincipalName=?)(sAMAccountName=?)))</Property>
<Property name="UserNameJavaRegEx">[a-zA-Z0-9@._-|//]{3,30}$</Property>
<Property name="UserNameJavaScriptRegEx">[a-zA-Z0-9._-|//]{3,30}$</Property>
<Property name="UserNameWithEmailJavaScriptRegEx">[a-zA-Z0-9@._-|//]{3,30}$</Property>

補足
以下3項目は"6-6-1.GUIでの設定"でも設定可能です。*14

以下の項目だけはCLIでの設定が必要となります。

6-6-3.wso2の起動

修正が完了したら、再度wso2を起動します。

cd /root/tmp/wso2is-6.1.0/bin

./wso2server.sh

wso2起動後に再度テナントにログインすると、以下のようなメッセージが表示されれば、ADとディレクトリ情報の同期が取れています。*15

[2023-12-03 16:06:46,651] [7569af63-31c8-45db-ade5-1ca3100a299f]  WARN {org.wso2.carbon.user.core.ldap.UniqueIDActiveDirectoryUserStoreManager} - Connection to the Active Directory is not secure. Password involved operations such as update credentials and adduser operations will fail
[2023-12-03 16:06:46,661] [7569af63-31c8-45db-ade5-1ca3100a299f]  INFO {org.wso2.carbon.user.core.ldap.UniqueIDReadWriteLDAPUserStoreManager} - LDAP connection created successfully in read-write mode

6-7.Claimsの設定

続いて、属性マッピングの設定を行っていきます。

6-7-1.upnの追加

Main＞Identity＞Claims＞Add＞Add Local Claimをクリック
必要項目を記載します。

以下のように設定してください。そして、Addをクリック。

6-7-2.usernameの変更

Main＞Identity＞Claims＞List＞http://wso2.org/claimsをクリック
スクロールダウンして、Usernameの右横のEditをクリック
Mapped Attributeのuidー＞cnに変更。
以下のように設定してください。そして、Updateをクリック。

6-8.Service Providerの設定

SPの設定となりますが、ここではIdpのMetadataを出力するところまでの手順に留めます。

6-8-1.Service Providerの追加

Main＞Identity＞Service Providers＞Addをクリック
Service Provider NameにWordPressと入力。
以下のように設定してください。そして、Registerをクリック

6-8-2.Service Providerの基本設定

必要項目を記載します。

＜Claim Configuration＞

以下のように設定してください。そして、Updateをクリック

6-8-3.Idp Metadaの出力

一旦元の画面に戻るので、Editをクリック

Inbound Authentication Configuration＞SAML2 Web SSO Configurationをクリックして、Configureをクリック

一番下までスクロールダウンして、Download IDP Metadataボタンをクリック。
後ほど、Wordpressにインポートしますので、idp.xmlとして保存しておきます。
一旦、Cancelをクリック。

7-1.Wordpressインストール

以下のサイトからWordpressのOVAファイルをDLします。
bitnami.com
OVAファイルをVMWare上にデプロイしてください。

7-2.Wordpress初期設定

構成図に基づき、ssh接続やIPアドレス設定を記載しています。
Defaultでは、DHCP設定にてIPアドレスを自動取得しますが、自動取得が特に気にならない方は、7-2-3までスキップしてください。*16

7-2-1.OSコンソールへのログインとssh設定

以下のクレデンシャルでログインしてください。

ユーザ名：bitnami
パスワード：bitnami

sshのパスワード接続を許可したいので、PasswordAuthenticationのコメントアウトを外します。

sudo vi /etc/ssh/sshd_config

PasswordAuthentication yes

その後、以下のコマンドでsshサーバを起動します。

sudo rm -f /etc/ssh/sshd_not_to_be_run
sudo systemctl enable ssh
sudo systemctl start ssh

7-2-2.IPアドレス設定

ssh接続後、IPアドレスを変更します。*17

sudo vi /etc/systemd/network/25-wired.network

[Match]
Name=ens*

[Network]
Address=192.168.11.94/24
Gateway=192.168.11.1
DNS=192.168.11.1

設定が完了したら、一旦再起動します。

7-2-3.Wordpressコンソールへのログイン

再起動後、VMWareのコンソール上に以下のような画面が表示されます。

ClientPCから以下のURLにアクセスしてください。
補足：パスワードはWordpressをデプロイするたびに自動生成されるため都度変更されます。

http://192.168.11.94/admin/
ユーザ名：user
パスワード：vfwUWFiS25BR

以下のような画面で上記クレデンシャルを入力しログインします。

ログインすると以下の画面が表示されます。
Please update nowをクリックして、最新Verにアップデートしておきます。

初回ログイン時は、WordpressのローカルDBを使用しました。
ここから、WordpressをSAML SPとして設定することにより、wso2 IdpによるSAML認証ができるように設定をしていきます。

7-3.WordpressのSAML SP設定

7-3-1.SAML Plug-inのインストール

Plugins＞Add New Pluginをクリック

画面右上Keywordの右側にsamlと入力すると検索候補が表示されます。
SAML Single Sign On - SSO LoginのInstall Nowをクリックします。*18

インストールが完了すると以下の表示に切り替わるので、Activateをクリック

以下の画面が表示されるので、Configure Your IDP Nowをクリック*19

7-3-2.SAML Idp(wso2) Metadataのインポート

画面中央のUpload IDP Metadataタブをクリックします。
Identity Provider Nameには、任意の名前を入力(ここでは例として、wso2と入力)
ファイル選択をクリックし、6-8-3.Idp Metadaの出力で保存したidp.xmlを選択
そして、Uploadをクリック

idp.xmlファイルのアップロードが成功すると、以下の画面が表示。
画面を下スクロールしてSaveをクリック

7-3-3.SAML SP(Wordpress) Metadataのエクスポート

画面上部のService Provider Metadataタブをクリックし、Downloadをクリック
任意のファイル名(ここでは例として、sp.xml)でClientPCに保存

7-3-4.wso2 SP Metadataのインポート

ここからはwso2のexample.comテナントにログインして作業を進めます。
Main＞Identity＞Service Providers＞Listをクリック
WordPressの右横のEditをクリック

Inbound Authentication Configuration＞SAML2 Web SSO Configurationをクリックして、Configureをクリック

Metadata File Configurationをクリック
ファイルを選択をクリックして、Wordpressからエクスポートしたsp.xmlを選択
Uploadをクリック

以下の画面に戻るので、SAML2 Web SSO ConfigurationのEditをクリック

以下2つの項目にチェック
Enable Attribute Profile
Include Attributes in the Response Always
画面を一番下までスクロールダウンして、Updateをクリック

元の画面に戻り、SAML2 Web SSO ConfigurationのAttribute Consuming Service Indexの項目に任意の数字が表示されます。

以上で設定は完了です。
ここからは動作確認をしていきます。