MRアクセスポイントにおけるHTTP CONNECTプロキシ
このドキュメントは原文を 2023年07月05日付けで翻訳したものです。
最新の情報は原文をご確認ください。
概要
HTTPプロキシサーバーは、クライアントとサーバーの間に立ち、中継役を果たします。HTTPプロキシなしのネットワークと、HTTPプロキシを使用したネットワークとの違いは以下の通りです。
通常、HTTPプロキシサーバーのないネットワークでは、MRを含め、すべてのデバイスがインターネットへ直接アクセスできます。この場合、ファイアウォールルールやアクセスコントロールポリシー、フルトンネルモードによるサイト間VPN接続などの追加制限を考慮する必要はありません。
ネットワークの簡略図は以下の通りです:
高度に管理されたネットワーク環境では、プロキシサーバーを介した通信のフィルタリングが必要な場合があります。
この場合のネットワーク簡略図は以下の通りです:
Merakiのクラウドネイティブなダッシュボードの性質上、セキュリティ要件(HTTPプロキシサーバーの使用)を満たしつつ、Merakiダッシュボードを活用することが、お客様にとって難しい場合があります。そこで、MR 30.1およびそれ以降のファームウェアでは、これらの課題を解決するための新機能HTTP CONNECT プロキシを導入しました。
注 : MR 27.X 以前のファームウェアで稼働しているすべての AP は、ローカルステータスページにてWeb プロキシ機能を有効化することができました。
しかしながら、Web プロキシ機能は、Wi-Fi 6以降対応APのMR 28.Xおよび MR 29.X ファームウェアでは廃止されています。
以下に説明する HTTP Connect プロキシ 機能は、MR 30.X以降のファームウェアで稼働しているWi-Fi 6以降対応のAPで利用可能な機能です。
HTTP CONNECTの概要
HTTP CONNECTを利用することで、HTTPプロキシの背後にある、MRのようなデバイスが、Merakiダッシュボードなど、要求したリソースとの双方向通信が可能となります。
これによる主な利点は、デバイス(MR)と最終的な宛先(Meraki ダッシュボード)の間においてエンドツーエンドの暗号化(例えば、SSL/TLS)が使用されている場合、HTTP プロキシサーバーは接続を許可するためにこの通信を復号化する必要がないことです。
注 : MR 28.1 以降のファームウェアでは、Wi-Fi 6 以降対応の AP はダッシュボードとの通信に TCP 443 (TLS) を使用します。
これは HTTP CONNECTを利用する際、MRとMeraki ダッシュボード間の通信を完全に暗号化された状態に保つ上での必要要件となります。
APにHTTP CONNECTが設定されている場合、HTTP プロキシサーバーがAPに代わって Meraki ダッシュボードへのレイヤー 4 TCP トンネルを確立するよう、HTTP CONNECT リクエストを送信します:
レイヤー4 TCPトンネルが確立されると、APはHTTPプロキシサーバーとMeraki ダッシュボード間のトンネルを通じて、Meraki ダッシュボードとTLS通信を行います。
HTTP サーバーはAPから受信したメッセージをMeraki ダッシュボードに転送し、応答をAPに中継します:
対応モデルと必要要件
対応AP
-
Wi-Fi 6と互換性のあるAP( MR45, MR55 )
-
Wi-Fi 6 AP( MR28, MR36, MR36H, MR44, MR46, MR46E, MR56, MR76, MR78, MR86 )
-
Wi-Fi 6E AP( MR57, CW9162I, CW9164I, CW9166I )
必須ファームウェア
-
MR 30.1以降のファームウェア
その他要件と注意点
-
HTTPプロキシサーバーはHTTP CONNECTに対応している必要があります。
-
DHCPv4による自動プロキシ検出(詳細については、以下の設定セクションを参照してください。)が有効な場合、AP にIPを発行する DHCP サーバーは、DHCPオプション60 ( MERAKI )を設定する必要があります。
-
DHCPv4による自動プロキシ検出(詳細については、以下の設定セクションを参照してください。)が有効な場合、AP にIPを発行する DHCP サーバーは、DHCPオプション43 ( HTTPプロキシサーバーのIPアドレスとポート )を設定する必要があります。
以下の例では、MXアプライアンスにてDHCPオプション43と60が設定されています。
DHCPオプション43 の “02:04:C0:A8:80:10:03:02:0C:38“ は、HTTPプロキシサーバーのIPとポート、”192.168.128.16:3128” を表しています。
注 : DHCPオプション43と60の設定は、どのDHCPサーバーでも可能です。プロキシサーバーのポートは、DHCPオプション43 にて設定する必要があります。また、HTTP プロキシサーバーのIPアドレスは、IPv4アドレスのみがサポートされています。
-
ダッシュボード)の FQDN を解決できなければなりません。これは、AP からの DNS トラフィックが HTTP プロキシサーバーを通過でき、DNS レスポンスが AP に戻ることができなければならないことを意味します。
-
HTTP CONNECT プロキシは、IPv4での Meraki ダッシュボード接続でのみ利用可能です。MR.Xファームウェアでは、IPv6経由でのダッシュボード接続とIPv6経由でのHTTPサーバーへの接続は対応していません。
-
HTTP CONNECTプロキシでは、現在、認証方法やホスト名(FQDN)設定変更は対応していません。
-
AP のプロキシ設定内容の確認は ローカルステータスページからのみ可能です。Meraki ダッシュボードからこの設定を確認することはできません。
HTTP CONNECTプロキシで対応しているサービス
注 : Meraki APは、以下にて挙げられる、ダッシュボードサービスに関連するトラフィックのみ、HTTP CONNECT プロキシメソッドを使用して HTTP プロキシサーバーに送信します。
例:HTTP CONNECT プロキシを使用するように設定されている場合、Meraki AP は常にプロキシサーバーを介して Meraki ダッシュボードと通信を試みます。
Meraki APは、以下にて挙げられる、ダッシュボードサービスに関連するトラフィック以外をHTTPプロキシサーバー経由で送信することはありません。
加えて、Meraki APはローカルトラフィック(例えば、Meraki AP とローカル RADIUS サーバー間の通信)をHTTPプロキシサーバーに送信しません。この場合、Meraki APはローカルのリソースと直接通信します。
MR 30.Xファームウェアは、HTTP CONNECTプロキシを介して以下のサービスが利用可能となります:
Meraki ダッシュボードとの通信
HTTP プロキシサーバーの背後にある AP は Meraki ダッシュボードと通信し、ワイヤレス > 監視 > アクセスポイント ページにてオンラインとなります。
設定のダウンロード
HTTPプロキシサーバーの背後にあるAPは、Merakiダッシュボードからの設定やバックエンドの変更を反映させるために必要な設定をダウンロードすることができます。
ファームウェア アップグレード
HTTP プロキシサーバーの背後にある AP は Meraki ダッシュボードを使用してファームウェアをダウンロードしアップグレードすることができます。
展開時における注意事項
出荷直後の新しいAPや、MR 29.x 以前のファームウェアを実行しているAPは、HTTPプロキシサーバーがインターネットへのアクセスを制御しているネットワークに配置される前に、APをMR 30.1以降のファームウェアにアップグレードする必要があります。
注意: HTTPプロキシ設定がされたAPが、HTTPプロキシサーバーの背後にある場合、MR 30.1 以前のファームウェアにダウングレードすることはできません。
MR 30.1 以前のファームウェアはHTTP CONNECT プロキシに対応していないため、ファームウェアをダウングレードすると、Merakiダッシュボードヘの接続が失われてしまいます。
そのため、上記の場合、Meraki ダッシュボードへの接続を回復させるには、制限のない環境でインターネットアクセスを行い、ファームウェアをMR 30.1以降にアップグレードさせ、再びHTTP CONNECTプロキシを介するように設定しなおす必要があります。
設定
HTTP CONNECTプロキシの設定方法は以下の通りです:
DHCPv4による自動プロキシ検出
APがDHCPよりIPを取得すると同時に、HTTP プロキシ IP アドレスとポート番号を取得することが可能です。APはDHCP Discoverに、「MERAKI」固有のオプション60としてVCI(Vendor Class Identifier)を含めて送信します。
DHCPサーバーは、DHCPクライアントからのDHCP Discoverで既知のVCIを検出すると、DHCP オプション 43として、ベンダ固有の情報をクライアントに返します。
注 : ローカルステータスページにて各APに手動でHTTP CONNECTプロキシを設定するよりも、DHCPv4による自動プロキシ検出による自動設定の方が、APの台数が増えた場合等の速やかな対応が可能となります。
ローカルステータスページよる設定
HTTP CONNECT プロキシを各 AP のローカルステータスページで手動設定することが可能です:
入力項目では、有効なIPv4アドレスとポートを入力してください。いずれかのフィールドが空白のままか、無効な入力がある場合、設定は元の状態に戻ります。
注 : HTTP CONNECT プロキシでは現在、認証方法やホスト名 (FQDN) の設定は対応していません。
HTTP CONNECT プロキシ設定の優先順位
デフォルトでは、対応モデルかつMR 30.1以降のファームウェアで稼働しているAPは、DHCPv4による自動プロキシ検出が設定されています。
MR 30.1以降のファームウェアにアップグレード、またDHCPv4による自動プロキシ検出を可能とするコンフィグをダウンロードするために、AP は Meraki ダッシュボードに接続する必要があります。
AP が HTTP CONNECT プロキシを利用するように設定されているかどうかは、Local status ページで "Use a proxy?" が "From DHCP" に設定されているどうかで確認できます。
“From DHCP” 状態時の各項目は読み取り専用で、AP が DHCP Option 43 経由で HTTP プロキシサーバー情報(IP アドレスとポート)を受信すると情報が表示されます。
HTTP CONNECT プロキシが “Custom” に変更され、IPv4 アドレスとポートが有効な場合、AP は設定された IPv4 アドレスとポートを介してのみ Meraki ダッシュボードへの接続を試みます。
注意: HTTPプロキシサーバーの情報をDHCPから取得できる場合("Use a proxy?" が "From DHCP" に設定)または、またはローカルステータスページにて (Use a proxy?” が “Custom” に設定状態で) 手動で有効なIPv4 アドレスとポートが設定されている場合は、
APがHTTP サーバーに到達できない、または HTTP サーバーが何らかの理由で AP のトラフィックを Meraki ダッシュボードに転送できない場合でも、Meraki ダッシュボードに直接接続しようとはしません。
プロキシサーバーの設定(IPv4 アドレスとポート)が DHCP サーバー上で正しく設定されていること、AP がプロキシサーバーに到達できないようなルーティングやフィルタリングルールが存在しないこと、AP から Meraki ダッシュボードへのトラフィックを中継するプロキシサーバーが適切に設定されていることを確認してください。
最後に、"Use a proxy?" が "No" に設定されている場合、AP は DHCP Discover メッセージでプロキシサーバー情報を要求しようとせず、プロキシサーバー経由で Meraki ダッシュボードに接続しようとしません。
