MXのFirmwareを14.xxから15.xxへUpgrade後Non-meraki VPN接続ができない際の対処方法

Seungmin
Meraki Employee

本記事では、MXのFirmwareを14.xxから15.xxへUpgrade後Non-meraki VPNとのトンネルが確立できない際の対処方法をご紹介させて頂きます。

 

MX 15以降ではMX内部の変化により、Non-Meraki VPNトンネルを確立する際、Remote ID パラメータを厳密に
チェックするようになっております。

以前のMX 14.xxでは、対向のPeerにて Local IDを設定している場合、 または NAT 配下である場合においても、
Remote IDが記載する必要はございませんでした。

しかし、MX 15以降では対向の Peer で Local ID を設定している場合、もしくは対向の Peer が NAT 配下にある場合には、
Remote ID 該当Local ID(Peer が NAT 配下に存在する場合は、Private IP を Remote IDとして記載)を記載することが必須なりました。

また、同様に異なるOrganizationに存在するMX同士のVPN(Non-Meraki VPN)接続時につきましても
MX が NAT 配下にある場合は それぞれのRemote IDで、対向 Peerの Private IPを記載する必要がございます。

 

■ Remote IDの設定が必要な場合

・Remote Peer (ASA,AWS, Fortigate等)で明示的にLocal IDを設定している場合。

 例)abc@test.com, www.example.com

 

・Remote Peer (AWS,ASA,Fortigate等)がNAT配下に存在する場合。

 例)対向の Peer の Public IP が1.1.1.1, Private IP が192.168.1.1である場合、Private IP 192.168.1.1を

     Remote IDとして記載する必要がある。

 

・異なるOrganizationに存在するMX同士の場合でも Non-Meraki VPNを使うことになるため、

 同様に、対向の Peer でLocal IDを指定している場合は Remote IDを記載する必要がある。

 また、NAT配下である場合は、Private IP をRemote IDとして記載する必要がある。

 

 

■ Remote IDの設定が必要 ない場合

・対向のPeerで特にLocal IDを設定していない。

・対向のPeerはNAT配下ではなく、Public IP addressを使用している。

 

 

■ Remote ID、Local ID 設定ページ

Security & SD-WAN >> Site to Site >> Organization-wide settings >> Non-Meraki VPN peers 

Organization-wide settings.png

■ MX 15.xx リリースノート

Due to underlying changes present in MX 15, MX appliances will now strictly validate the remote ID parameter during VPN tunnel formation. 

If you notice issues with non-Meraki VPN tunnel connectivity after upgrading to MX 15 for the first time, 

please ensure the remote ID configured in the site-to-site VPN page for a given non-Meraki peer matches what is configured as the local ID on that device.

 

 

■ 参考URL

[Non Meraki Peers]

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-Site_VPN_Settings#Non-Meraki_VPN_peers