本記事では、MX でのClient VPN の設定方法及びトラブルシューティングの方法について、ご紹介します。

なお、設定方法については、Meraki 上でユーザを管理する(AD サーバやRadius サーバ不要) 方法をご紹介します。

// 設定方法 //

// MX 側 //

1. ダッシュボードにログインした後に、セキュリティ＆SD-WAN> 設定> クライアントVPN をクリックして下さい。

2. クライアントVPN サーバを有効にした後に、以下の項目を設定して下さい。

　サブネット: クライアントVPN で使用するサブネット *

　DNSサーバ: クライアントVPN で使用するDNS サーバ

　共有パスワード: クライアントVPN 接続時に必要になるパスワード

　認証: Meraki クラウド認証 を選択して下さい

*MX で保持していないAuto VPN やVLAN と被らないサブネットで設定して下さい

3. 同画面の下部にある ユーザ管理> 新規ユーザの追加 をクリックして下さい。

4. ユーザ名・パスワードに任意の値を入力し、認証済みを有効にして、ユーザの認証期限を設定して下さい。

* ダッシュボードに既に登録されているユーザ名・パスワードを使用したい場合には、アカウントをクリックして、認証済みの箇所を有効に変更して下さい。

クライアントVPNの承認 がYes になっていれば、そのユーザはクライアントVPN で使用可能なユーザとなります。

// クライアント側 //

クライアント側の設定方法についてはOS によって異なるため、こちらのURL をご参照頂ければと存じます。

// トラブルシューティング //

様々な要因で クライアントVPN 接続に失敗する事が考えられますが、

大きく分けて二つの要因で失敗する事が考えられます。

- クライアントとMX 間の経路上の問題

- クライアントまたはMX の設定の問題

上記を切り分けるにあたり、以下の方法でMX までクライアントからパケットが届いているかどうか

確認する事が可能と考えています。

ネットワーク全体> イベントログ をクリックしていただき、All Non-Meraki / Client VPN でフィルターをかけて下さい。

イベントログに何も表示されていない場合、MX にクライアントからのパケットが届いていない可能性が高い事が考えられます。

上記の様な状況の場合、以下の点について切り分けを実施して頂ければと存じます。

・クライアント側で指定しているIP アドレスまたはホスト名があっているかどうか

・(MX がNAT 配下にある場合) 上位のルータでUDP 500/4500  が許可されているかどうか

* 上位ルータによっては、MX に対してPort Forwarding の設定を実施する必要があります。

・クライアントが接続しているネットワークを異なるネットワークに変更した場合、接続可能かどうか

* クライアントVPN 接続を試みているMX 配下のネットワークからは、MX に対してクライアントVPN 接続をする事は出来ません。

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

イベントログ配下に、クライアントVPN が失敗している様なログが表示されている場合、

以下の様な切り分けを実施して頂ければと存じます。

・クライアント側の設定(L2TP/IPSEC になっているか、Shared Key があっているか、クレデンシャルがあっているか等)

・MX 側で接続を試みているユーザがクライアントVPN ユーザとして、承認されているかどうか

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

もし、WIndows 10 でクライアントVPN 接続が出来ない場合、Windows 側でエラーコードを確認する事で

問題の切り分けを実施する事が可能となります。

Windows のエラーコードについては、こちらのURL をご参照下さい。

// 参考URL //

[Troubleshooting Client VPN]

https://documentation.meraki.com/MX/Client_VPN/Troubleshooting_Client_VPN

[Client VPN OS Configuration]

https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configuration