Skip to main content

 

Cisco Meraki Documentation

サイト間VPNの設定

  1. Last updated
  2. Save as PDF

サイト間VPN

Meraki Auto VPNテクノロジーは、ワンクリックでサイト間VPNトンネルを作成できる独自のソリューションです。ダッシュボード上で有効にすると、参加する各MX-Zデバイスは、以下のことを自動的に実行します。

  • VPNに参加している自身のローカル サブネットをアドバタイズします。
  • インターネット1およびインターネット2ポートのWAN IPアドレスをアドバタイズします。
  • ダッシュボードからグローバルVPNルート テーブルをダウンロードします(各MXがアドバタイズしたVPNネットワーク内のWAN IP/ローカル サブネットに基づいて、ダッシュボードによって自動的に生成されます)。
  • VPNトンネルの確立とトラフィックの暗号化のために、事前共有キーをダウンロードします。

これにより、ワンクリックで設定可能な自動メッシュ サイト間VPNソリューションが実現します。

サイト間VPNのセットアップ

サイト間VPNの設定は、Security & SD-WAN(セキュリティ & SD-WAN) ≻ Configure(設定) ≻ Site-to-site VPN(サイト間VPN)ページからアクセスできます。

タイプ

Auto VPNトポロジーでのMX-Zのロールを設定するには3つのオプションがあります。

  • Off(オフ):MX-Zデバイスはサイト間VPNに参加しません。
  • Hub (Mesh)(ハブ(メッシュ)):MX-Zデバイスは、このモードで設定されているすべてのリモートMeraki VPNピアとの間、ならびに、ハブとしてMX-Zデバイスが設定されているハブアンドスポーク モードのMX-Zアプライアンスとの間でVPNトンネルを確立します。
  • Spoke(スポーク):このMX-Zデバイス(スポーク)は、指定されたリモートMX-Zデバイス(ハブ)との間でのみ、直接トンネルを確立します。他のスポークへは、それぞれのハブを経由して到達可能ですが、サイト間ファイアウォールのルールによってブロックされる場合を除きます。

ハブのタイプ

出口ハブ

このオプションは、MX-Zデバイスがハブとして設定されている場合のみ使用できます。 このオプションでは、ローカルMX-Zデバイスからすべてのネットワーク トラフィックを受信するリモートMX-Zデバイスを指定できます。これによって、デフォルト ルート宛てのすべてのトラフィックが指定されたMXに送信されるフル トンネル構成が作成されます。

フル トンネルVPNでのセキュリティ機能

フル トンネル トポロジーでは、すべてのセキュリティおよびコンテンツ フィルタリングがフル トンネル クライアント上で実行される必要があります。出口ハブは、VPN経由で着信するトラフィックに対して、コンテンツ フィルタリング、IPSブロッキング、およびマルウェア スキャンを適用しません。ただし、このトラフィックに対しては、IDSスキャンが実行されます。

スポークのタイプ

ハブ

アプライアンスがスポークとして設定されると、そのアプライアンスに対して複数のVPNハブを設定できます。この構成では、スポークのMX-Zデバイスはすべてのサイト間トラフィックを、設定されたVPNハブに送信します。

デフォルト ルート

スポークのハブを設定するときには、デフォルト ルートになるハブを選択するオプションがあります。このオプションを選択すると、そのハブはスポークのデフォルト ルートとして設定されます(0.0.0.0/0)。設定されたVPNピア ネットワーク、スタティック ルート、ローカル ネットワークに送信されないトラフィックは、デフォルト ルートに送信されます。複数のハブをデフォルト ルートとして選択できます。デフォルト ルートとしてマークされたハブは、降順で優先順位が決まります(一番上のハブが最優先されます)。

複数のVPNハブの設定

さらにハブを追加するには、選択されている既存のハブのすぐ下の「Add a hub(ハブを追加)」ボタンをクリックします。メッシュVPNモードのアプライアンスのみをハブにできるため、ダッシュボード オーガナイゼーションのメッシュVPNアプライアンスの数が、特定のアプライアンスに対して設定できるハブの最大数を表します。

このページでのハブの設定順序がハブの優先順位になります。ハブの優先順位は、複数のVPNハブが同じサブネットをアドバタイズした場合に使用されるハブを決定するために使用されます。以下の条件を満たす最も上のハブが、そのサブネットへの到達に使用されます。

 

A) サブネットをアドバタイズしている

B) 現在、VPN経由で到達可能である

 

ハブを削除するには、該当するハブの右にあるActions(アクション)列のグレーの「X」をクリックします。ハブの優先順位リストを並べ替えるには、リスト内のハブの右にあるグレーの4方向矢印アイコンをクリックしてドラッグすることによって、そのハブを上または下へ移動します。

トンネリング

スポークとして設定されたMX-Zデバイスについては、使用可能な2つのトンネリング モードがあります。

  • Split tunnel(スプリット トンネル)(デフォルト ルートなし):サイト間トラフィックのみを送信します。つまり、サブネットがリモート サイトにある場合、そのサブネット宛てのトラフィックはVPN経由で送信されます。しかし、VPNメッシュにないネットワーク宛てのトラフィック(たとえば、www.google.comなどのパブリックWebサービス宛てのトラフィック)は、VPN経由では送信されません。 代わりに、このトラフィックは使用可能な別のルートを使用してルーティングされ、最も一般的には、ローカルMX-Zデバイスからインターネットに直接送信されます。スプリット トンネリングでは、複数のハブを設定できます。
  • Full tunnel(フル トンネル)(デフォルト ルートあり):設定された出口ハブは、Auto VPN経由でスポークMX-Zデバイスにデフォルト ルートをアドバタイズします。他のルートでは到達できないサブネット宛てのトラフィックは、VPN経由で出口ハブに送信されます。出口ハブのデフォルト ルートには、降順で優先順位が付けられます。

コンセントレータの優先順位

コンセントレータの優先順位によって、ハブ(メッシュ)モードのアプライアンスが複数のMeraki VPNピアからアドバタイズされたサブネットに到達する方法が決まります。ハブの優先順位と同様に、次の条件を満たす、リストの一番上のコンセントレータがそのようなサブネットに使用されます。

 

A) サブネットをアドバタイズしている

B) 現在、VPN経由で到達可能である

 

重要な点として、コンセントレータの優先順位はメッシュ モードのアプライアンスによってのみ使用されます。ハブアンドスポーク モードのアプライアンスはコンセントレータの優先順位を無視して、代わりに独自のハブ優先順位を使用します。

NATトラバーサル

MX-Zデバイスがファイアウォールまたは他のNATデバイスの背後にある場合、VPNトンネルを確立するには2つのオプションがあります。

  • Automatic(自動):ほとんどの場合、MX-Zデバイスは、ファイアウォールまたはNATデバイス経由でも、「UDPホール パンチ」と呼ばれる技法を使用して、リモートMeraki VPNピアへのサイト間VPN接続を自動的に確立できます。これは推奨オプションであり、デフォルトで選択されています。
  • Manual: Port forwarding(手動:ポート転送):Automatic(自動)オプションが機能しない場合は、このオプションを使用できます。Manual: Port forwarding(手動:ポート転送)が有効なときには、Meraki VPNピアは、指定されたパブリックIPアドレスとUDPポート番号を使用してMX-Zデバイスと通信します。そのUDPポートのすべての着信トラフィックをMX-ZデバイスのIPアドレスに転送するように、アップストリーム ファイアウォールを設定する必要があります。

選択したポート番号が別のサービスによってすでに使用されていないことを確認してください。たとえば、ポート500または4500はクライアントVPNとサードパーティVPNピアの通信に使用されるため、使用しないでください。

ローカル ネットワーク

複数のLANサブネットがある場合、VPNに参加するVLANとスタティック ルートを指定するオプションがあります。

 

複数のアプライアンスから同じサブネットがアドバタイズされる可能性があるのは、そのサブネットをアドバタイズしているすべてのアプライアンスがパススルーまたはVPNコンセントレータ モードになっている場合のみです。ルーテッド モードのアプライアンスからアドバタイズされるサブネットはすべて、Auto VPNトポロジー内で一意でなければなりません。

MX-ZデバイスがスタティックLANルートを持つサブネットは、VPN経由でアドバタイズすることもできます。スタティック ルーティングされるサブネットをVPN経由でアドバタイズする場合は、ルーティングの均整を保つために、各サブネットのゲートウェイ デバイスがリモートVPNサブネットのトラフィックをMX-Zデバイスにルーティングするように設定されていることを確認してください。

フル トンネル構成では、VPNの一部となるプレフィックスを指定すると、そのプレフィックスによってカバーされるすべてがVPNに参加することになります。したがって、重複するサブネットがあると、VPNに含まれるように設定されていない場合でも、より具体的なサブネットのトラフィックがVPN経由で送信されます。たとえば、10.0.0.0/16はVPNに含まれるように設定され、10.0.1.0/24は含まれるように設定されていない場合、10.0.1.50からのトラフィックもVPN経由で送信されます。

 

VPNサブネット変換

この機能はデフォルトでは有効になっていません。有効にするには、Merakiサポートに問い合わせてください。

さらに、この機能はAuto VPNについてのみサポートされ、Meraki以外のVPNピアで機能することを目的としていません。

大規模な分散ネットワークでは、複数のネットワークが同一のサブネット範囲(つまり、重複するサブネット)を持つことがあります。サイト間VPN通信では、各サイトに固有の重複しないローカル サブネットが必要です。複数のロケーションに同じローカル サブネットがある場合は、VPNサブネット変換を有効にして、ローカル サブネットを同じ数のアドレスを持つ新しいサブネットに変換します。

サブネット変換の例

  • ブランチ1のローカル サブネット:192.168.31.0/24
  • ブランチ2のローカル サブネット:192.168.31.0/24(ブランチ1と同一)
  • ブランチ1の変換後のサブネット:10.0.1.0/24
  • ブランチ2の変換後のサブネット:10.0.2.0/24
上記の例では、両方のネットワークに同一のローカル サブネットがあっても、変換後のVPNサブネットを使用してVPN経由で通信できます。ブランチ1は10.0.1.0/24として、ブランチ2は10.0.2.0/24として、VPNトンネル経由でアクセス可能です。

OSPFルート アドバタイズメント

MXセキュリティ アプライアンスは現時点では完全なOSPFルーティングをサポートしていませんが、OSPFを使用して、リモートVPNサブネットをコア スイッチまたはその他のルーティング デバイスにアドバタイズでき、これにより、それらのサブネットへのスタティック ルートを作成する必要がなくなります。OSPFアドバタイズメントは、VPNコンセントレータ モードでのみサポートされます。

Advertise remote routes(リモート ルートをアドバタイズ):これが「Enabled(有効)」に設定されている場合、OSPFが使用されて、リモートVPNサブネットをこのコンセントレータ経由で到達可能であるとしてアドバタイズします。

Router ID(ルータID):このコンセントレータがネイバーに対して自身を通知するために使用するOSPFルータID。

Area ID(エリアID):このコンセントレータがルート アドバタイズメントを送信するときに使用するOSPFエリアID。

Cost(コスト)::このコンセントレータからアドバタイズされるすべてのOSPFルートに付加されるルート コスト。

Hello timer(Helloタイマー):コンセントレータがOSPF Hello パケットを送信する頻度。これは、OSPFトポロジー内のすべてのデバイスで同じでなければなりません。

Dead timer(Deadタイマー):コンセントレータが特定のOSPFネイバーからのHelloパケットを確認するまで待機する時間。この値に達すると、そのネイバーを非アクティブとみなします。

MD5 Authentication(MD5認証):これが有効な場合、潜在的なOSPFネイバーの認証にMD5ハッシュが使用されます。これにより、無許可のデバイスがネットワークにOSPFルートを注入するのを防ぎます。

Authentication Key(認証キー):MD5キー番号とパスフレーズ。OSPF隣接関係を形成するデバイス間で、これら両方の値が一致する必要があります。

Meraki以外のVPNピア

Security & SD-WAN(セキュリティ& SD-WAN) > Configure(設定) > Site-to-site VPN(サイト間VPN)ページのNon-Meraki VPN peers(Meraki以外のVPNピア)セクションで、MX-ZデバイスとMeraki以外のVPNエンドポイント デバイスの間でサイト間VPNトンネルを作成できます。Add a peer(ピアの追加)をクリックして、以下の情報を入力します。

  • リモート デバイスまたはVPNトンネルの名前。
  • リモート デバイスのパブリックIPアドレス。
  • リモート ピアのリモートID。これはオプションの設定であり、リモート ピアのUserFQDN、FQDN、またはIPv4アドレスに設定できます。
  • VPN経由で接続するサードパーティ デバイスの背後にあるサブネット。0.0.0.0/0を指定して、このピアへのデフォルト ルートを定義することもできます。
  • 使用するIPsecポリシー。
  • 事前共有秘密キー(PSK)。
  • 可用性の設定。これにより、ダッシュボード オーガナイゼーション内のどのアプライアンスがピアに接続するかが決まります。

MX-ZデバイスがMeraki以外のVPNピアへのデフォルト ルート(0.0.0.0/0)で設定された場合、接続がダウンした場合でも、トラフィックはWANへフェールオーバーされないことに注意してください。

MX-Zデバイスは、ローカル ネットワークがアドバタイズされていない場合、Meraki以外のピアへのVPNトンネルの形成を試みません。

セキュリティ アプライアンスまたはテレワーカー ゲートウェイ ピアがNATの背後にある別のデバイスを持つときには、「Remote ID(リモートID)」フィールドを使用してください。MX 14ファームウェア リリースでは、デバイスはデフォルトで学習できたため、この値を指定する必要はありませんでした。MX 15ファームウェア リリース以降では、いくつかのソフトウェアの変更により、この値に次のいずれかを指定する必要があります。

  • ピアのプライベートIPアドレス

    • 異なるオーガナイゼーション内の2つ以上のセキュリティ アプライアンスまたはテレワーカー ゲートウェイをペアリングする場合は、これを使用してください。

  • ユーザFQDN(user@domain.comなど)

  • FQDN(www.example.comなど)

これらのいずれの値を使用するかは、リモート デバイスによって異なります。リモートIDとして指定できる値と、それらの設定方法(ASAファイアウォールのcrypto isakmp identityなど)については、ドキュメンテーションを参照してください。

IPsecポリシー

事前設定の3つのIPsecポリシーを使用できます。

  • Default(デフォルト):Meraki以外のデバイスへの接続に、MerakiのデフォルトのIPsec設定を使用します。
  • AWS:Amazon VPCへの接続用のデフォルト設定を使用します。
  • Azure:Microsoft Azureインスタンスへの接続用のデフォルト設定を使用します。

これらの事前設定のいずれも適切でない場合は、Custom(カスタム)オプションによって、IPsecポリシーのパラメータを手動で設定できます。これらのパラメータは、フェーズ1とフェーズ2に分かれています。

フェーズ1

  • Encryption(暗号化):AES-128、AES-192、AES-256、および3DES暗号化の中から選択します。
  • Authentication(認証):MD5またはSHA1認証を選択します。
  • Diffie-Hellman group(Diffie-Hellmanグループ):Diffie-Hellman(DH)グループ1、2、および5から選択します。
  • Lifetime (seconds)(ライフタイム(秒)):フェーズ1のライフタイムを秒単位で入力します。

フェーズ2

  • Encryption(暗号化):AES-128、AES-192、AES-256、および3DES暗号から選択(複数のオプションを選択できます)。
  • Authentication(認証):MD5およびSHA1認証から選択します(両方のオプションを選択できます)
  • PFS group(PFSグループ):Perfect Forward Secrecy(PFS)を無効にするには、「Off(オフ)」オプションを選択します。Diffie Hellmanグループを使用してPFSを有効にするには、グループ1、2、または5を選択します。
  • Lifetime (seconds)(ライフタイム(秒)):フェーズ2のライフタイムを秒単位で入力します。

2018年5月8日、暗号化についてDESを非推奨とする変更が導入されました。詳細については、ここをクリックしてください。 

注記:可能なときには、フェーズ2のライフタイムをトンネルの両側で等しくしてください。MXがトンネルの構築に応答する側である場合、短い方のフェーズ2のライフタイムに対応できることもありますが、トンネルのイニシエータである場合は、そのようにできません。 

ピアの可用性

デフォルトでは、Meraki以外のピアの設定は、ダッシュボード オーガナイゼーション内のすべてのMX-Zアプライアンスに適用されます。制御対象のすべてのアプライアンスがMeraki以外の特定のピアへのトンネルを形成することが常に望ましいとは限らないため、「Availability(可用性)」列によって、オーガナイゼーション内のどのアプライアンスが各ピアに接続するかを制御できます。この制御は、ダッシュボード ネットワークに適用できるラベルであるネットワーク タグに基づきます。

ピアとして「All networks(すべてのネットワーク)」を選択すると、オーガナイゼーション内のすべてのMX-Zアプライアンスがそのピアに接続します。特定のネットワーク タグまたはタグのセットを選択すると、指定されたタグを1つ以上持つネットワークだけが、そのピアに接続します。

ネットワーク タグの詳細については、こちらを参照してください。

VPNファイアウォール ルール

ファイアウォール ルールを追加して、VPNトンネルの通過を許可するトラフィックを制御できます。これらのルールは、サイト間VPNに参加しているオーガナイゼーション内のすべてのMX-ZアプライアンスからのアウトバウンドVPNトラフィックに適用されます。これらのルールは、このドキュメンテーションのファイアウォールの設定ページで説明されているレイヤー3ファイアウォール ルールと同じ方法で設定できます。VPNファイアウォール ルールは、インバウンド トラフィックやVPNを通過しないトラフィックには適用されません。 

サイト間VPNの監視

Merakiデバイス間のサイト間VPNトンネルのステータスを監視するには、Security & SD-WAN(セキュリティ&SD-WAN) > Monitor(監視) > VPN Status(VPNの状況)をクリックします。このページには、設定されたMerakiサイト間VPNトンネルのリアルタイムのステータスが表示されます。VPN経由でエクスポートされるサブネット、MX-ZアプライアンスとMeraki VPNレジストリ間の接続情報、NATトラバーサル情報、およびすべてのトンネルで使用されている暗号化タイプが表示されます。また、Site connectivity(サイト接続)リストには、リモートMeraki VPNピアについて以下の情報が表示されます。

  • リモートMeraki VPNピアの名前。
  • リモート ピア デバイスによってVPN経由でアドバタイズされているサブネット。
  • ステータス(ピアが現在到達可能かどうか)。
  • VPN経由のラウンドトリップ パケット遅延(ミリ秒単位)。
  • VPNトンネルのステータスを判別するためにハートビート パケットが前回送信された時間(秒単位)。
     

このページには、Meraki以外のピアについては、限定的な情報が表示されます。

トラブルシューティング

一般的な問題とトラブルシューティング手順については、サイト間VPNのトラブルシューティングを参照してください。

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Topic
    Stage
    Final
  2. Tags
    1. ch
    2. remote id
    3. site-to-site
    4. subnet translation
    5. vpn