1. はじめに 本記事では、Non-Meraki VPN peersを構築しているMXにおいて、対向のthird party VPN機器へfull tunnelを構築する場合の設定方法について紹介いたします。 2. Split tunnel と Full tunnel について Split tunnel (デフォルトルートなし) : VPNを経由して、サイト間VPNトラフィックのみを送信します。つまり、宛先サブネットがリモートサイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されますが、トラフィックがVPNメッシュ内にないネットワーク(たとえば、www.google.com などのWebサービスに向かうトラフィック)宛ての場合、トラフィックはVPN経由で送信されません。このトラフィックは別の使用可能なルートを使用してルーティングされ、一般的にはローカルのMXデバイスからインターネットに直接送信されます。 Full tunnel (デフォルトルートあり) : MXが持つデフォルトルートの宛先を対向機器に向けます。したがって、他のルートを介して到達できないサブネットを宛先とするトラフィックは、全てVPNを介す形でパケットが送信されます。 3. Non-Meraki VPN peers へのfull tunnel 設定方法 Non-Meraki VPN peers の設定項目内にて、対向のthird party VPN機器配下に存在するネットワークを指定して、VPN経由で接続させるPrivate subnetsという項目があります。通常は、該当箇所のネットワークレンジ宛の通信の際に、VPNを経由するような設定をしますが、下図のように、こちらに、0.0.0.0/0 と設定することで、この対向機器に向いたデフォルトルートを定義することができます。 ※注意点として、MXデバイスがNon-Meraki VPN peersへのデフォルトルート(0.0.0.0/0)で構成されている場合、VPN接続がダウンしてもトラフィックはWAN側にfailoverしない点に気をつけていただければと思います。 参考元 : https://documentation.meraki.com/MX/Site-to-site_VPN/Site-to-site_VPN_Settings#Non-Meraki_VPN_peers
... View more