ファームウェアMX17+以降で有効な Cisco Talos Intelligence コンテンツ/URL フィルタリング機能のトラブルシュート方法を概説

Cisco Secure ConnectのOutage時に拠点間のVPNを担保するための設定についての記事です。

概要

本記事では、Auto VPN における、Unfriendly 状態の理解とトラブルシュートについて記載をしております。

Auto VPN におけるトンネル確立のトラブルシュートは以下の記事をご参照ください。

Auto VPN機能におけるVPNトンネル確立のトラブルシューティングについて - The Meraki Community

Auto VPN の前提理解

NAT デバイスのLAN 側でMX を利用する場合、通常のIPsec-VPN では、そのNAT デバイスでUDP port 500,4500 をMX に対してポートフォワーディングする設定が必要となります。

しかし、Auto VPN では、UDP ホールパンチングという仕組みを利用してNAT 配下の場合にも、特に設定変更を意識せずにVPN を構築することが可能となります。※NAT デバイスやFW が厳しい要件の場合の例外はあります。

Auto VPN のUDP ホールパンチングの仕組みについては深く解説しませんが、前提理解のため簡単に記載をいたします。

初めにVPN Registry と呼ばれるMeraki クラウド側のサーバと接続を実施し、同じダッシュボードネットワークでVPN を有効としている隣接情報を取得します。

これによって、接続先のIP アドレスとポート番号などの情報がMX 間で通知されます。

(Warm spare 構成の場合、Spare 機器に切り替わる際にもPrimary と同じポートが使われます。)

*構成例(アップリンクにファイアウォールデバイスが存在する想定)

その後、Registry から取得した情報をもとに拠点間でVPN のコネクションを実施します。

一般的に、ファイアウォールではWAN からのインバウンド通信に対してブロックされる動作となるため、図の通りにブロックされる動作となります。

その後、先ほどの通信で拠点のアップストリームファイアウォールではNAT テーブルが生成され、ステートフルファイアウォールによって戻りのトラフィックが許可されるため、

パケットがNAT デバイスを超えてMX に到達することになります。これが、UDP ホールパンチングという仕組みになります。

Auto VPN とUDP ホールパンチングの詳細については、以下のドキュメントも参考となります。

Meraki Auto VPN - Configuration and Troubleshooting - Cisco Meraki Documentation

Automatic NAT Traversal for Auto VPN Tunneling between Cisco Meraki Peers - Cisco Meraki Documentati...

Unfriendly 状態について

UDP ホールパンチングは、拠点間のMX で一貫した IP アドレスとポートである必要があります。

VPN Registry は冗長性のために2 つのサーバーが使用されており、どちらもMX が同じパブリック IP アドレスとポートで利用可能であることを確認しています。

Unfriendly 状態としてマークされる場合、以下の状態にあることが考えられます。

1. 一部のNAT デバイス(ファイアウォールなど)で、VPN registry ごとに異なるソースポートに書き換え通信を実施している。

2. 一部のNAT デバイスまたはロードバランサーで、VPN registry ごとに2つの異なるパブリックIP アドレスを用いて通信を実施している。

これは、SNAT Load Balancing とも呼ばれる機能となります。

また、このような環境やCarrier-Grade NAT(通信事業者がIP 枯渇の対策として利用する機能)環境においては、Auto VPN に関するポート番号が変更されることでUDP ホールパンチングが機能しない場合があります。

以下の例では、片側のファイアウォール にて送信元ポート番号が変更されたことでUDP ホールパンチングが機能せずVPN パケットが通過できない状態となっています。

トラブルシュート

解決策1：

MX のアップストリームのNAT デバイスでPreserve Source Port（送信元ポートの保持）設定を有効にする。

この問題は、パブリックIP とポート番号の組み合わせが変更されることによって発生するため、書き換えをしないことで解消する可能性があります。

以下の例では、赤い丸のデバイスが送信元ポート番号を変更しているため、設定対象となります。

NAT デバイスのPreserve Source Port 設定に関しては、ご利用機器のベンダに確認をいただくことが推奨されます。

解決策2：

MX のアップストリームファイアウォールデバイスによっては、MX のWarm spare の切り替わり時に、MX の送信元IP が変更となることで、転送時の送信元ポートを変更する動作をとる場合があります。

NAT 配下でMX を利用する場合、耐障害性を高めるためにも仮想IP を用いて、MX が利用するIP を1つとすることで解決する可能性があります。

以下の例では、Spoke 拠点がWarm spare 構成を取っていると仮定した時、赤い丸のデバイスが設定対象となります。

MX の仮想IP の設定方法は以下のドキュメントをご参照ください。

MX Warm Spare - High-Availability Pair - Cisco Meraki Documentation

NAT デバイスにて、SNAT Load Balancing などが利用されており、VPN Registry 宛ての通信が2つのパブリック IP アドレスに変換されてしまっている場合、

内部からのMX のトラフィックを単一のパブリックIP アドレスにマッピングするように設定を行います。

これにより、VPN レジストリで参照されるパブリック IP アドレスが常に同じになるため、解決する可能性があります。

以下の例では、赤い丸のデバイスがパブリックIP を複数のIP に変更している想定のため、設定対象となります。

SNAT Load Balancing は、Cisco RT などであればNAT Pool を用いたOverload の設定となるため、

これを1つのパブリックIP を利用するように設定変更を行う必要があります。(1:1 NAT など)

解決策4：

Meraki ダッシュボードにて、Auto VPN の手動ポート転送にて任意のポート番号を設定し、アップストリームファイアウォールでポートフォワーディング機能を有効にして、MX へトラフィックを転送する。 

これによってポート書き換えされたトラフィックを転送することが可能となるため、解決する可能性があります。

まずは、セキュリティ&SD-WAN > サイト間VPN > NAT トラバーサル > 手動: ポート転送 にて、左側の拠点で利用されるパブリックIP と任意のポート番号の指定を行います。（ポート範囲は1024-65535）

例の場合は、Spoke からHub に対してUDP 60000 を宛先としてUDP ホールパンチングが行われます。

次に、Hub 拠点のアップストリームファイアウォールにてUDP 60000 で受けたトラフィックをLAN 側のMX へ転送するようにポートフォワーディングの設定を行います。

これにより、Hub に到達できるようになります。

Hub はVPN Registry から取得した情報に存在しないSpoke から有効なAuto VPN パケットを受信すると、パケットのパブリックIP とUDP ポートを使用して新しいコネクションベースのエントリを追加してVPN 通信を開始します。

デモンストレーション

Fortigate 50E(v6.2.16 build1392 (GA)) を用いて疑似的にUnfriendly 状態を再現し、アップリンクデバイスにて状況を確認しました。

デモンストレーション構成は以下の試験構成となります。

※試験結果は、あくまで試験としての参考情報としていただけますと幸いです。

また、こちらはラボ環境の設定例となります。ファームウェアバージョンなどによっても変動する可能性はありますので、

設定などの詳細はベンダーへご確認ください。

シナリオ：NAT デバイスが送信元ポートを変更してしまう環境にて、Primary 機器をダウンさせた時の挙動

通常時、VPN Registry  への通信は、Primary 機器から送信されたものが確認されています。

Primary 機器の電源断を行い、Warm spare の切り替えを実施します。すると、新しくSecondary 機器のNAT テーブルが作成されます。

しかし、画像の通りにSecondary の通信の送信元ポートの書き換えが行われていることが確認できます。

この状態の場合、MXではUnfriendly 状態を検知します。

また、Secondary 機器から対向ピアに対してのVPN 通信のポート番号も変更されるため、VPN 通信に影響を及ぼすことになります。

この時、Fortigate におけるポリシーの設定では、Preserve Source Port（送信元ポートの保持）設定が無効となっていたため、有効として確認を行います。

ポリシー変更後、Primary 機器をもとに戻し、通常状態のNAT テーブルを確認します。

その後、Primary 機器の電源断を行い確認をすると、Primary 機器のNAT フローテーブルを保持せずに単一のNAT フローが残っている状態を確認することができます。

この状態の場合、MXではFriendly 状態を検知し、Auto VPN の通信に異常は見られませんでした。

また、上記検証では、MX にて個別のIP を利用する設定となっていたが、仮想IP を設定した場合には、2つのNAT フローが作成されることはなかったため、今回の事象は発生しませんでした。

追加リソース

Carrier-Grade NAT and Meraki Auto VPN - Cisco Meraki Documentation

Meraki Auto VPN - Configuration and Troubleshooting - Cisco Meraki Documentation

Meraki Auto VPN General Best Practices - Cisco Meraki Documentation

Auto VPN Hub Deployment Recommendations - Cisco Meraki Documentation

Automatic NAT Traversal for Auto VPN Tunneling between Cisco Meraki Peers - Cisco Meraki Documentati...

はじめに

MX では、任意の宛先に対して、ICMP のテスト結果に基づいた、Uplink Statistics(遅延、損失データ) を取得することが可能になります。
デフォルトでは、8.8.8.8 向けの宛先に対してのテストを行い、これらの統計情報の出力を行っております。

この機能を応用することで回線側の調査やMX に直接接続されたアップリンクの監視を行うために役立てることができます。

本記事では、こちらの機能の活用方法について記載しております。

Meraki では、直接接続されたアップリンクを監視するために、MX のデフォルト ゲートウェイをこちらのリストに含めることを推奨しております。

本機能における制限事項

制限事項
- VPN トンネル越しのプライベートアドレスを宛先にすることはできません。

- MX のWAN インターフェースから到達可能でなければなりません。
- 宛先デバイスがICMP トラフィックに応答しなければなりません。
- ホスト名/FQDN はサポートされていません。

ダッシュボードリンク

設定ページ

- セキュリティ&SD-WAN > SD-WAN & トラフィックシェーピング > アップリンクの統計

確認ページ

- セキュリティ&SD-WAN > アプライアンスステータス > アップリンク タブ > Merakiデバイスの履歴データ

デモンストレーション

前述の通りにMeraki では、直接接続されたアップリンクを監視するために、MX のデフォルト ゲートウェイをこちらのリストに含めることを推奨しております。

例えば、アップリンクに回線貸与のルーター が存在する場合、デフォルトの8.8.8.8 のみの監視の場合では、

回線側に問題があったのか、ネクストホップのルーター に問題があったのか判断がつかない場合があります。

このリストにデフォルトゲートウェイの宛先を含めることでこの判断における情報を得られる可能性が上がります。

デモでは、8.8.8.8 宛てとMX のデフォルトゲートウェイ宛てに対してテストを実施します。

以下の例では、8.8.8.8 宛ての統計では、100% のロスを報告しております。

一方で、この同じ時刻に、MX のデフォルト ゲートウェイ宛ての統計では、0% のロスを報告しております。

この結果から、アップリンクのルーターのWAN 側に問題が発生していた可能性があることが判断可能となります。

※デモでは、アップリンクのルーターのWAN インターフェースを切断して100% を再現しております。

また、MX のInternet ポートでパケットキャプチャの取得を行うことでこの通信を確認することができますが、

宛先に対しては1秒に1発のICMP が送信されていることが確認できます。

応用

Auto VPN で頻発したダウン/アップ が報告される場合、特定の拠点間のグローバルIP に対して

このテストを行いフラッピングする事象に対して監視を行うことができます。

テストの統計とEvent log からVPN のアップダウンを確認して比較することができます。

※双方のグローバルIP がICMP に返信することが前提となります。

追加のリソース

SD-WAN and Traffic Shaping - Cisco Meraki Documentation

Meraki Auto VPN - Configuration and Troubleshooting - Cisco Meraki Documentation

Auto VPN機能におけるVPNトンネル確立のトラブルシューティングについて - The Meraki Community

RMA時にMXの交換を行う際の、現地対応者向けのマニュアルとしてご活用ください。

Meraki Auto VPNとNon-Meraki VPNを併用した構成での通信経路についての記事です。

2024年度末よりMXのコンテンツフィルタリング機能にファームウェア制限が設けられる件についての記事です。

vMXでのトラブル発生時の切り分け対応は、ほぼ限定されている状況です。

vMXでのトラブル発生時に、再度SetUpをお願いすることがあるため、

この記事から参考にするSetUpマニュアルをご確認いただければと存じます。

本記事では、MXのポートフォワーディング機能を利用した際に、想定通り動作しない場合の切り分け手順について解説しています。

// 概要 //

MXのポートフォワーディング機能はインターネットからWANポートに着信した通信を

LAN配下（※1）の特定IPアドレスにフォワードする機能で、これによって社内のデバイスやサーバを

インターネット上に公開することが可能です。

設定後、実際にアクセスをしても通信が出来ないという場合に下記に記載の事項を確認することで

問題の切り分けが可能です。

※1：MXで設定したサブネットが対象となります。またAuto VPNでの対向ピアのサブネットなども指定できません。

// 設定方法 //

設定は下記画面で実施します。

セキュリティ＆SD-WAN ＞ ファイアウォール ＞ 転送ルール

上記例ではMXの両方のWANポートに着信したTCP/8080のパケットを、

MX配下の192.168.100.10にTCP/80でフォワードする設定となります。

// 問題切り分け方法 //

通常下記のような順序での切り分けが有効となります。

1. インターネット側の任意の環境から、対象のポートで通信を実施

上述の例の場合、ブラウザで確認可能な通信であれば「http://xxx.xxx.xxx.xxx:8080」等で、

またはtelnet等のコマンドでポートを指定し確認（xxx.xxx.xxx.xxxはグローバルIPアドレス）します。

・Mac OSの端末での実施の場合

telnet xxx.xxx.xxx.xxx 8080

2. MXのWANポートでパケットキャプチャをし該当通信の着信確認
下記画面でMXとインターネットポートを指定します。

ネットワーク全体 ＞ パケットキャプチャ

該当通信が来ていない場合、MXの上流環境を確認し上位のルータ等がある環境であれば該当通信を

上流側でポートフォワーディングしてMXに向けているか、またフィルター等をしていないか確認。

また通信元の端末が、MXの設定で許可された送信元IPアドレスであるかを確認します。

3. MXのLANポートでフォワードして対象機器からの応答があるかを確認

上記のパケットキャプチャの画面でLANポートを選択し、該当通信を変換後のポートで
指定されたIPアドレスに送信しているか、また対象機器からの応答を確認します。

機器からの応答がない、TCPの再送処理等が発生している場合などの際は

対象デバイス自体が被疑箇所である可能性があるため下記確認に進みます。

4. 対象機器のサービス稼働状況、Firewall等での制御状況

下記のような事項を確認し機器側の状態を確認します。

・対象サーバ、デバイスで問題なくサービスが起動しているか

・LAN内からはアクセス可能であるか

・Firewall等で指定したIPレンジからしか許可しないような設定になっていないか

//参考情報//

Port Forwarding and NAT Rules on the MX

Troubleshooting Port Forwarding and NAT Rules
Port Forwarding Caveats

本記事では、クライアント端末でAndroid12を利用している場合における、MXでのクライアントVPN利用の注意点について解説いたします。

// 概要 //

Android 12ではL2TP/IPsecの設定自体が廃止されたことに伴い、MXへのクライアントVPNの接続設定が実施できなくなっています。

※Android OSをアップグレードする前に既にL2TP/IPsecのプロファイルを登録していた場合においては、継続して接続可能との事です。

// 対応方法 //

OSの機能ではなく、CiscoのAny Connectやそれ以外のL2TP/IPsecに対応したサードパーティ製のVPN接続アプリケーションを利用し接続を行う必要があります。

//参考情報//

クライアントVPNのOS設定

AnyConnect on the MX Appliance

本記事では、MXのFirmwareを14.xxから15.xxへUpgrade後Non-meraki VPNとのトンネルが確立できない際の対処方法をご紹介させて頂きます。

MX 15以降ではMX内部の変化により、Non-Meraki VPNトンネルを確立する際、Remote ID パラメータを厳密に
チェックするようになっております。

以前のMX 14.xxでは、対向のPeerにて Local IDを設定している場合、 または NAT 配下である場合においても、
Remote IDが記載する必要はございませんでした。

しかし、MX 15以降では対向の Peer で Local ID を設定している場合、もしくは対向の Peer が NAT 配下にある場合には、
Remote IDに 該当Local ID(Peer が NAT 配下に存在する場合は、Private IP を Remote IDとして記載)を記載することが必須となりました。

また、同様に異なるOrganizationに存在するMX同士のVPN(Non-Meraki VPN)接続時につきましても
MX が NAT 配下にある場合は それぞれのRemote IDで、対向 Peerの Private IPを記載する必要がございます。

■ Remote IDの設定が必要な場合

・Remote Peer (ASA,AWS, Fortigate等）で明示的にLocal IDを設定している場合。

　例）abc@test.com, www.example.com

・Remote Peer (AWS,ASA,Fortigate等）がNAT配下に存在する場合。

　例）対向の Peer の Public IP が1.1.1.1, Private IP が192.168.1.1である場合、Private IP 192.168.1.1を

　　   Remote IDとして記載する必要がある。

・異なるOrganizationに存在するMX同士の場合でも Non-Meraki VPNを使うことになるため、

　同様に、対向の Peer でLocal IDを指定している場合は Remote IDを記載する必要がある。

　また、NAT配下である場合は、Private IP をRemote IDとして記載する必要がある。

■ Remote IDの設定が必要 ない場合

・対向のPeerで特にLocal IDを設定していない。

・対向のPeerはNAT配下ではなく、Public IP addressを使用している。

■ Remote ID、Local ID 設定ページ

・Security & SD-WAN >> Site to Site >> Organization-wide settings >> Non-Meraki VPN peers 

■ MX 15.xx リリースノート

Due to underlying changes present in MX 15, MX appliances will now strictly validate the remote ID parameter during VPN tunnel formation. 

If you notice issues with non-Meraki VPN tunnel connectivity after upgrading to MX 15 for the first time, 

please ensure the remote ID configured in the site-to-site VPN page for a given non-Meraki peer matches what is configured as the local ID on that device.

■ 参考URL

[Non Meraki Peers]

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-Site_VPN_Settings#Non-Meraki_VPN_peers

本記事では、MX でのClient VPN の設定方法及びトラブルシューティングの方法について、ご紹介します。

なお、設定方法については、Meraki 上でユーザを管理する(AD サーバやRadius サーバ不要) 方法をご紹介します。

// 設定方法 //

// MX 側 //

1. ダッシュボードにログインした後に、セキュリティ＆SD-WAN> 設定> クライアントVPN をクリックして下さい。

2. クライアントVPN サーバを有効にした後に、以下の項目を設定して下さい。

　サブネット: クライアントVPN で使用するサブネット *

　DNSサーバ: クライアントVPN で使用するDNS サーバ

　共有パスワード: クライアントVPN 接続時に必要になるパスワード

　認証: Meraki クラウド認証 を選択して下さい

*MX で保持していないAuto VPN やVLAN と被らないサブネットで設定して下さい

3. 同画面の下部にある ユーザ管理> 新規ユーザの追加 をクリックして下さい。

4. ユーザ名・パスワードに任意の値を入力し、認証済みを有効にして、ユーザの認証期限を設定して下さい。

* ダッシュボードに既に登録されているユーザ名・パスワードを使用したい場合には、アカウントをクリックして、認証済みの箇所を有効に変更して下さい。

クライアントVPNの承認 がYes になっていれば、そのユーザはクライアントVPN で使用可能なユーザとなります。

// クライアント側 //

クライアント側の設定方法についてはOS によって異なるため、こちらのURL をご参照頂ければと存じます。

// トラブルシューティング //

様々な要因で クライアントVPN 接続に失敗する事が考えられますが、

大きく分けて二つの要因で失敗する事が考えられます。

- クライアントとMX 間の経路上の問題

- クライアントまたはMX の設定の問題

上記を切り分けるにあたり、以下の方法でMX までクライアントからパケットが届いているかどうか

確認する事が可能と考えています。

ネットワーク全体> イベントログ をクリックしていただき、All Non-Meraki / Client VPN でフィルターをかけて下さい。

イベントログに何も表示されていない場合、MX にクライアントからのパケットが届いていない可能性が高い事が考えられます。

上記の様な状況の場合、以下の点について切り分けを実施して頂ければと存じます。

・クライアント側で指定しているIP アドレスまたはホスト名があっているかどうか

・(MX がNAT 配下にある場合) 上位のルータでUDP 500/4500  が許可されているかどうか

* 上位ルータによっては、MX に対してPort Forwarding の設定を実施する必要があります。

・クライアントが接続しているネットワークを異なるネットワークに変更した場合、接続可能かどうか

* クライアントVPN 接続を試みているMX 配下のネットワークからは、MX に対してクライアントVPN 接続をする事は出来ません。

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

イベントログ配下に、クライアントVPN が失敗している様なログが表示されている場合、

以下の様な切り分けを実施して頂ければと存じます。

・クライアント側の設定(L2TP/IPSEC になっているか、Shared Key があっているか、クレデンシャルがあっているか等)

・MX 側で接続を試みているユーザがクライアントVPN ユーザとして、承認されているかどうか

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

もし、WIndows 10 でクライアントVPN 接続が出来ない場合、Windows 側でエラーコードを確認する事で

問題の切り分けを実施する事が可能となります。

Windows のエラーコードについては、こちらのURL をご参照下さい。

// 参考URL //

[Troubleshooting Client VPN]

https://documentation.meraki.com/MX/Client_VPN/Troubleshooting_Client_VPN

[Client VPN OS Configuration]

https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configuration

1. はじめに

本記事では、Non-Meraki VPN peersを構築しているMXにおいて、対向のthird party VPN機器へfull tunnelを構築する場合の設定方法について紹介いたします。

2. Split tunnel と Full tunnel について

Split tunnel (デフォルトルートなし) : VPNを経由して、サイト間VPNトラフィックのみを送信します。つまり、宛先サブネットがリモートサイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されますが、トラフィックがVPNメッシュ内にないネットワーク（たとえば、www.google.com などのWebサービスに向かうトラフィック）宛ての場合、トラフィックはVPN経由で送信されません。このトラフィックは別の使用可能なルートを使用してルーティングされ、一般的にはローカルのMXデバイスからインターネットに直接送信されます。

Full tunnel (デフォルトルートあり) : MXが持つデフォルトルートの宛先を対向機器に向けます。したがって、他のルートを介して到達できないサブネットを宛先とするトラフィックは、全てVPNを介す形でパケットが送信されます。

3. Non-Meraki VPN peers へのfull tunnel 設定方法

Non-Meraki VPN peers の設定項目内にて、対向のthird party VPN機器配下に存在するネットワークを指定して、VPN経由で接続させるPrivate subnetsという項目があります。通常は、該当箇所のネットワークレンジ宛の通信の際に、VPNを経由するような設定をしますが、下図のように、こちらに、0.0.0.0/0 と設定することで、この対向機器に向いたデフォルトルートを定義することができます。

※注意点として、MXデバイスがNon-Meraki VPN peersへのデフォルトルート（0.0.0.0/0）で構成されている場合、VPN接続がダウンしてもトラフィックはWAN側にfailoverしない点に気をつけていただければと思います。

参考元 : 

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-site_VPN_Settings#Non-Meraki_VPN_peers

1. はじめに

MXがルーテッドモードで動作している場合、ダッシュボードの Security & SD-WAN > Addressing & VLANs から、static routeの設定が可能になります。本記事では、弊社へよくお問い合わせいただくstatic route設定時のエラーについて紹介いたします。

2. エラーについて

Static routeを設定し保存した際に、下記のエラーが出て保存できないというお問い合わせをいただきます。

こちらのエラーが出る原因としては、MXは自身のAddressing & VLANsにて設定したLAN の範囲内で、Static RouteのNext hopを指定する事が可能です。したがって、例えば、outbound trafficに関して、MXのWAN側にてスタティックルートで設定しようとする際、MXのAddressing & VLANsにて該当のネットワークが定義されておらず、今回のようにエラーとなるものになります。