MX 後継機への交換時に役立つ、ポートマッピング表の整理、移行手順と注意点について実例を交えて概説します。

ファームウェアMX17+以降で有効な Cisco Talos Intelligence コンテンツ/URL フィルタリング機能のトラブルシュート方法を概説

Cisco Secure ConnectのOutage時に拠点間のVPNを担保するための設定についての記事です。

端末がインターネットに接続できない場合の原因を切り分けるための確認ポイントと、問題解決のための具体的なトラブルシュート手順を解説します。

Auto-VPNで“Unfriendly NAT”と表記されたとき、何をどう確認すべきかを整理した実践ガイドです。

NATのポート再書き換え、ロードバランサ／多IP環境、UDP穴あき通過など、典型的な原因と対処策を丁寧に解説します。

MXのUplink Statistics機能の活用方法を整理した記事です。

RMA時にMXの交換を行う際の、現地対応者向けのマニュアルとしてご活用ください。

Meraki Auto VPNとNon-Meraki VPNを併用した構成での通信経路についての記事です。

2024年度末よりMXのコンテンツフィルタリング機能にファームウェア制限が設けられる件についての記事です。

vMXでのトラブル発生時の切り分け対応は、ほぼ限定されている状況です。

vMXでのトラブル発生時に、再度SetUpをお願いすることがあるため、

この記事から参考にするSetUpマニュアルをご確認いただければと存じます。

本記事では、MXのポートフォワーディング機能を利用した際に、想定通り動作しない場合の切り分け手順について解説しています。

// 概要 //

MXのポートフォワーディング機能はインターネットからWANポートに着信した通信を

LAN配下（※1）の特定IPアドレスにフォワードする機能で、これによって社内のデバイスやサーバを

インターネット上に公開することが可能です。

設定後、実際にアクセスをしても通信が出来ないという場合に下記に記載の事項を確認することで

問題の切り分けが可能です。

※1：MXで設定したサブネットが対象となります。またAuto VPNでの対向ピアのサブネットなども指定できません。

// 設定方法 //

設定は下記画面で実施します。

セキュリティ＆SD-WAN ＞ ファイアウォール ＞ 転送ルール

上記例ではMXの両方のWANポートに着信したTCP/8080のパケットを、

MX配下の192.168.100.10にTCP/80でフォワードする設定となります。

// 問題切り分け方法 //

通常下記のような順序での切り分けが有効となります。

1. インターネット側の任意の環境から、対象のポートで通信を実施

上述の例の場合、ブラウザで確認可能な通信であれば「http://xxx.xxx.xxx.xxx:8080」等で、

またはtelnet等のコマンドでポートを指定し確認（xxx.xxx.xxx.xxxはグローバルIPアドレス）します。

・Mac OSの端末での実施の場合

telnet xxx.xxx.xxx.xxx 8080

2. MXのWANポートでパケットキャプチャをし該当通信の着信確認
下記画面でMXとインターネットポートを指定します。

ネットワーク全体 ＞ パケットキャプチャ

該当通信が来ていない場合、MXの上流環境を確認し上位のルータ等がある環境であれば該当通信を

上流側でポートフォワーディングしてMXに向けているか、またフィルター等をしていないか確認。

また通信元の端末が、MXの設定で許可された送信元IPアドレスであるかを確認します。

3. MXのLANポートでフォワードして対象機器からの応答があるかを確認

上記のパケットキャプチャの画面でLANポートを選択し、該当通信を変換後のポートで
指定されたIPアドレスに送信しているか、また対象機器からの応答を確認します。

機器からの応答がない、TCPの再送処理等が発生している場合などの際は

対象デバイス自体が被疑箇所である可能性があるため下記確認に進みます。

4. 対象機器のサービス稼働状況、Firewall等での制御状況

下記のような事項を確認し機器側の状態を確認します。

・対象サーバ、デバイスで問題なくサービスが起動しているか

・LAN内からはアクセス可能であるか

・Firewall等で指定したIPレンジからしか許可しないような設定になっていないか

//参考情報//

Port Forwarding and NAT Rules on the MX

Troubleshooting Port Forwarding and NAT Rules
Port Forwarding Caveats

本記事では、クライアント端末でAndroid12を利用している場合における、MXでのクライアントVPN利用の注意点について解説いたします。

// 概要 //

Android 12ではL2TP/IPsecの設定自体が廃止されたことに伴い、MXへのクライアントVPNの接続設定が実施できなくなっています。

※Android OSをアップグレードする前に既にL2TP/IPsecのプロファイルを登録していた場合においては、継続して接続可能との事です。

// 対応方法 //

OSの機能ではなく、CiscoのAny Connectやそれ以外のL2TP/IPsecに対応したサードパーティ製のVPN接続アプリケーションを利用し接続を行う必要があります。

//参考情報//

クライアントVPNのOS設定

AnyConnect on the MX Appliance

本記事では、MXのFirmwareを14.xxから15.xxへUpgrade後Non-meraki VPNとのトンネルが確立できない際の対処方法をご紹介させて頂きます。

MX 15以降ではMX内部の変化により、Non-Meraki VPNトンネルを確立する際、Remote ID パラメータを厳密に
チェックするようになっております。

以前のMX 14.xxでは、対向のPeerにて Local IDを設定している場合、 または NAT 配下である場合においても、
Remote IDが記載する必要はございませんでした。

しかし、MX 15以降では対向の Peer で Local ID を設定している場合、もしくは対向の Peer が NAT 配下にある場合には、
Remote IDに 該当Local ID(Peer が NAT 配下に存在する場合は、Private IP を Remote IDとして記載)を記載することが必須となりました。

また、同様に異なるOrganizationに存在するMX同士のVPN(Non-Meraki VPN)接続時につきましても
MX が NAT 配下にある場合は それぞれのRemote IDで、対向 Peerの Private IPを記載する必要がございます。

■ Remote IDの設定が必要な場合

・Remote Peer (ASA,AWS, Fortigate等）で明示的にLocal IDを設定している場合。

　例）abc@test.com, www.example.com

・Remote Peer (AWS,ASA,Fortigate等）がNAT配下に存在する場合。

　例）対向の Peer の Public IP が1.1.1.1, Private IP が192.168.1.1である場合、Private IP 192.168.1.1を

　　   Remote IDとして記載する必要がある。

・異なるOrganizationに存在するMX同士の場合でも Non-Meraki VPNを使うことになるため、

　同様に、対向の Peer でLocal IDを指定している場合は Remote IDを記載する必要がある。

　また、NAT配下である場合は、Private IP をRemote IDとして記載する必要がある。

■ Remote IDの設定が必要 ない場合

・対向のPeerで特にLocal IDを設定していない。

・対向のPeerはNAT配下ではなく、Public IP addressを使用している。

■ Remote ID、Local ID 設定ページ

・Security & SD-WAN >> Site to Site >> Organization-wide settings >> Non-Meraki VPN peers 

■ MX 15.xx リリースノート

Due to underlying changes present in MX 15, MX appliances will now strictly validate the remote ID parameter during VPN tunnel formation. 

If you notice issues with non-Meraki VPN tunnel connectivity after upgrading to MX 15 for the first time, 

please ensure the remote ID configured in the site-to-site VPN page for a given non-Meraki peer matches what is configured as the local ID on that device.

■ 参考URL

[Non Meraki Peers]

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-Site_VPN_Settings#Non-Meraki_VPN_peers

本記事では、MX でのClient VPN の設定方法及びトラブルシューティングの方法について、ご紹介します。

なお、設定方法については、Meraki 上でユーザを管理する(AD サーバやRadius サーバ不要) 方法をご紹介します。

// 設定方法 //

// MX 側 //

1. ダッシュボードにログインした後に、セキュリティ＆SD-WAN> 設定> クライアントVPN をクリックして下さい。

2. クライアントVPN サーバを有効にした後に、以下の項目を設定して下さい。

　サブネット: クライアントVPN で使用するサブネット *

　DNSサーバ: クライアントVPN で使用するDNS サーバ

　共有パスワード: クライアントVPN 接続時に必要になるパスワード

　認証: Meraki クラウド認証 を選択して下さい

*MX で保持していないAuto VPN やVLAN と被らないサブネットで設定して下さい

3. 同画面の下部にある ユーザ管理> 新規ユーザの追加 をクリックして下さい。

4. ユーザ名・パスワードに任意の値を入力し、認証済みを有効にして、ユーザの認証期限を設定して下さい。

* ダッシュボードに既に登録されているユーザ名・パスワードを使用したい場合には、アカウントをクリックして、認証済みの箇所を有効に変更して下さい。

クライアントVPNの承認 がYes になっていれば、そのユーザはクライアントVPN で使用可能なユーザとなります。

// クライアント側 //

クライアント側の設定方法についてはOS によって異なるため、こちらのURL をご参照頂ければと存じます。

// トラブルシューティング //

様々な要因で クライアントVPN 接続に失敗する事が考えられますが、

大きく分けて二つの要因で失敗する事が考えられます。

- クライアントとMX 間の経路上の問題

- クライアントまたはMX の設定の問題

上記を切り分けるにあたり、以下の方法でMX までクライアントからパケットが届いているかどうか

確認する事が可能と考えています。

ネットワーク全体> イベントログ をクリックしていただき、All Non-Meraki / Client VPN でフィルターをかけて下さい。

イベントログに何も表示されていない場合、MX にクライアントからのパケットが届いていない可能性が高い事が考えられます。

上記の様な状況の場合、以下の点について切り分けを実施して頂ければと存じます。

・クライアント側で指定しているIP アドレスまたはホスト名があっているかどうか

・(MX がNAT 配下にある場合) 上位のルータでUDP 500/4500  が許可されているかどうか

* 上位ルータによっては、MX に対してPort Forwarding の設定を実施する必要があります。

・クライアントが接続しているネットワークを異なるネットワークに変更した場合、接続可能かどうか

* クライアントVPN 接続を試みているMX 配下のネットワークからは、MX に対してクライアントVPN 接続をする事は出来ません。

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

イベントログ配下に、クライアントVPN が失敗している様なログが表示されている場合、

以下の様な切り分けを実施して頂ければと存じます。

・クライアント側の設定(L2TP/IPSEC になっているか、Shared Key があっているか、クレデンシャルがあっているか等)

・MX 側で接続を試みているユーザがクライアントVPN ユーザとして、承認されているかどうか

・異なるOS (Windows/macOS/iPhone...) で接続可能かどうか

もし、WIndows 10 でクライアントVPN 接続が出来ない場合、Windows 側でエラーコードを確認する事で

問題の切り分けを実施する事が可能となります。

Windows のエラーコードについては、こちらのURL をご参照下さい。

// 参考URL //

[Troubleshooting Client VPN]

https://documentation.meraki.com/MX/Client_VPN/Troubleshooting_Client_VPN

[Client VPN OS Configuration]

https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configuration

1. はじめに

本記事では、Non-Meraki VPN peersを構築しているMXにおいて、対向のthird party VPN機器へfull tunnelを構築する場合の設定方法について紹介いたします。

2. Split tunnel と Full tunnel について

Split tunnel (デフォルトルートなし) : VPNを経由して、サイト間VPNトラフィックのみを送信します。つまり、宛先サブネットがリモートサイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されますが、トラフィックがVPNメッシュ内にないネットワーク（たとえば、www.google.com などのWebサービスに向かうトラフィック）宛ての場合、トラフィックはVPN経由で送信されません。このトラフィックは別の使用可能なルートを使用してルーティングされ、一般的にはローカルのMXデバイスからインターネットに直接送信されます。

Full tunnel (デフォルトルートあり) : MXが持つデフォルトルートの宛先を対向機器に向けます。したがって、他のルートを介して到達できないサブネットを宛先とするトラフィックは、全てVPNを介す形でパケットが送信されます。

3. Non-Meraki VPN peers へのfull tunnel 設定方法

Non-Meraki VPN peers の設定項目内にて、対向のthird party VPN機器配下に存在するネットワークを指定して、VPN経由で接続させるPrivate subnetsという項目があります。通常は、該当箇所のネットワークレンジ宛の通信の際に、VPNを経由するような設定をしますが、下図のように、こちらに、0.0.0.0/0 と設定することで、この対向機器に向いたデフォルトルートを定義することができます。

※注意点として、MXデバイスがNon-Meraki VPN peersへのデフォルトルート（0.0.0.0/0）で構成されている場合、VPN接続がダウンしてもトラフィックはWAN側にfailoverしない点に気をつけていただければと思います。

参考元 : 

https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-site_VPN_Settings#Non-Meraki_VPN_peers

1. はじめに

MXがルーテッドモードで動作している場合、ダッシュボードの Security & SD-WAN > Addressing & VLANs から、static routeの設定が可能になります。本記事では、弊社へよくお問い合わせいただくstatic route設定時のエラーについて紹介いたします。

2. エラーについて

Static routeを設定し保存した際に、下記のエラーが出て保存できないというお問い合わせをいただきます。

こちらのエラーが出る原因としては、MXは自身のAddressing & VLANsにて設定したLAN の範囲内で、Static RouteのNext hopを指定する事が可能です。したがって、例えば、outbound trafficに関して、MXのWAN側にてスタティックルートで設定しようとする際、MXのAddressing & VLANsにて該当のネットワークが定義されておらず、今回のようにエラーとなるものになります。