Non-Meraki VPN peers へのfull tunnel 設定

tommatsu
Meraki Alumni (Retired)

1. はじめに

本記事では、Non-Meraki VPN peersを構築しているMXにおいて、対向のthird party VPN機器へfull tunnelを構築する場合の設定方法について紹介いたします。

 

 

2. Split tunnel と Full tunnel について

Split tunnel (デフォルトルートなし) : VPNを経由して、サイト間VPNトラフィックのみを送信します。つまり、宛先サブネットがリモートサイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されますが、トラフィックがVPNメッシュ内にないネットワーク(たとえば、www.google.com などのWebサービスに向かうトラフィック)宛ての場合、トラフィックはVPN経由で送信されません。このトラフィックは別の使用可能なルートを使用してルーティングされ、一般的にはローカルのMXデバイスからインターネットに直接送信されます。

 

Full tunnel (デフォルトルートあり) : MXが持つデフォルトルートの宛先を対向機器に向けます。したがって、他のルートを介して到達できないサブネットを宛先とするトラフィックは、全てVPNを介す形でパケットが送信されます。

 

 

3. Non-Meraki VPN peers へのfull tunnel 設定方法

Non-Meraki VPN peers の設定項目内にて、対向のthird party VPN機器配下に存在するネットワークを指定して、VPN経由で接続させるPrivate subnetsという項目があります。通常は、該当箇所のネットワークレンジ宛の通信の際に、VPNを経由するような設定をしますが、下図のように、こちらに、0.0.0.0/0 と設定することで、この対向機器に向いたデフォルトルートを定義することができます。

 

スクリーンショット 0002-04-10 15.25.54.png

 

※注意点として、MXデバイスがNon-Meraki VPN peersへのデフォルトルート(0.0.0.0/0)で構成されている場合、VPN接続がダウンしてもトラフィックはWAN側にfailoverしない点に気をつけていただければと思います。

 

参考元 : 

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-site_VPN_Settings#Non-Meraki_VPN_peers

3 コメント
Welcome to the Meraki Community!
To start contributing, simply sign in with your Cisco account. If you don't yet have a Cisco account, you can sign up.
ラベル