Non-Meraki VPN peers へのfull tunnel 設定

tommatsu
Meraki Alumni (Retired)

1. はじめに

本記事では、Non-Meraki VPN peersを構築しているMXにおいて、対向のthird party VPN機器へfull tunnelを構築する場合の設定方法について紹介いたします。

 

 

2. Split tunnel と Full tunnel について

Split tunnel (デフォルトルートなし) : VPNを経由して、サイト間VPNトラフィックのみを送信します。つまり、宛先サブネットがリモートサイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されますが、トラフィックがVPNメッシュ内にないネットワーク(たとえば、www.google.com などのWebサービスに向かうトラフィック)宛ての場合、トラフィックはVPN経由で送信されません。このトラフィックは別の使用可能なルートを使用してルーティングされ、一般的にはローカルのMXデバイスからインターネットに直接送信されます。

 

Full tunnel (デフォルトルートあり) : MXが持つデフォルトルートの宛先を対向機器に向けます。したがって、他のルートを介して到達できないサブネットを宛先とするトラフィックは、全てVPNを介す形でパケットが送信されます。

 

 

3. Non-Meraki VPN peers へのfull tunnel 設定方法

Non-Meraki VPN peers の設定項目内にて、対向のthird party VPN機器配下に存在するネットワークを指定して、VPN経由で接続させるPrivate subnetsという項目があります。通常は、該当箇所のネットワークレンジ宛の通信の際に、VPNを経由するような設定をしますが、下図のように、こちらに、0.0.0.0/0 と設定することで、この対向機器に向いたデフォルトルートを定義することができます。

 

スクリーンショット 0002-04-10 15.25.54.png

 

※注意点として、MXデバイスがNon-Meraki VPN peersへのデフォルトルート(0.0.0.0/0)で構成されている場合、VPN接続がダウンしてもトラフィックはWAN側にfailoverしない点に気をつけていただければと思います。

 

参考元 : 

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-site_VPN_Settings#Non-Meraki_VPN_peers

3 コメント
ひみつ
Conversationalist

今日御社のケースにnon meraki vpnとmeraki vpnの併用は出来ないと言われました。

 

ルーティグテーブルがまともに動作しないとのことです。

 

知ってたらmerakiを採用しませんでした。

 

毎回回答かわるので、信用出来ない製品ですね。

 

失望しています。

タイミングみて他社製に切り替えます。

MyHomeNWLab
A model citizen

今日御社のケースにnon meraki vpnとmeraki vpnの併用は出来ないと言われました。

Meraki MXシリーズはNon-Meraki VPN peers (他社製品)に対して、各MXデバイスから【直接的】にVPNを張る動作が必要になり。

 

Auto VPNと【併用】して
「拠点のMX (Spoke) ----AutoVPN---→ DCのMX (Hub) ----Non-Meraki VPN---→ 他社製品」
のような【他のMXデバイス (Auto VPN)を経由 (Hop/Via)する】通信はできない制約の話の可能性があるかなと。

 

実際にありそうなユース ケースに照らし合わせるなら、
Hub & Spoke構成でDCのHubから他社製品にVPNを張って、拠点のSpokeからはDCのHub経由で他社製品側に通信させたいケースが出来ないです。

 

ドキュメントに明確に書いてあったか分からないですが、コミュニティで稀に話題になるのを見かけた覚えがあります。

 

その制約はあるものの、Auto VPNとNon-Meraki VPN peersの【同時使用的な併用】は出来なくはないと言ったところでしょうか。

設計的・運用的に好ましくないとは思いますが、各拠点側の全てのMXから他社製品にNon-Meraki VPN peersを張ればその制約には引っかからないです。

それであればAuto VPNを張ったままに出来ます。

 

どうしても他事業者サービスへの接続などでNon-Meraki VPN peersが必要になるケースは出てきますが、

その制約に引っかからないように緩和するために、Auto VPNの範囲内で収まるようPublic Cloud向けにはMeraki vMXもあったりします。

他の方も参照すると思うので参考情報としてのコメントです。

ひみつ
Conversationalist

今回の要件はまさにHub & Spoke構成でDCのHubから他社製品にVPNを張って、拠点のSpokeからはDCのHub経由で他社製品側に通信させたいケースです。

 

管理上別にしたかったのですが、サポートされていないことが明確になったので、今回は設計変更する方向で進めています。

(本当は他社製に切り替えたい)

 

メラキはドキュメントに明確に書いてないとこも多いし、問い合わせても毎回回答変わるので閉口しますね。

Welcome to the Meraki Community!
To start contributing, simply sign in with your Cisco account. If you don't yet have a Cisco account, you can sign up.
ラベル