Skip to main content

 

Cisco Meraki Documentation

サイト間VPNファイアウォールの挙動について

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年07月18日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

管理者は、Cisco Meraki MXセキュリティアプライアンス上でVPNトンネルを通過するトラフィックの流れを制限するファイアウォールルールを追加することができます。他のMerakiファイアウォールオプションと同様、このファイアウォールはステートフルであり、既存のフローに一致しないトラフィックのみをブロックします。

これらのファイアウォールルールは、サイト間VPN(AutoVPNおよび非Meraki含む)に参加している組織内すべてのMXネットワークに適用されます。

Meraki Learning Hubの無料オンライン研修コースで詳細を学びましょう:

トレーニングを開始するには、Cisco SSOでサインインするか無料アカウントを作成してください。

ファイアウォールルールの作成

ファイアウォールルールを作成するには、以下の手順に従います。

  1. セキュリティ&SD-WAN > 設定 > サイト間VPNに移動します。

  2. ページのオーガナイゼーション全体の設定セクション内のサイト間アウトバウンドファイアウォールルールを追加を選択します。
    Screenshot of the "Organization-wide settings section of the "Security & SD-WAN > Configure > Site-to-site VPN" page.

  3. ルールに必要なパラメータを入力します。

  4. 変更を保存を選択します。

  • FQDN、ワイルドカードFQDN、およびFQDNオブジェクトを含むネットワークグループは、サイト間VPNアウトバウンドファイアウォールルールには適用できません。

VPNファイアウォールルールの考慮事項

VPNファイアウォールルールを構成する際は、トラフィックは可能な限り発信クライアントデバイスに近い場所で遮断することが重要です。これによりVPNトンネルを通過するトラフィックが削減され、ネットワークパフォーマンスが最大化されます。このため、サイト間ファイアウォールルールは発信トラフィックのみに適用されます。したがって、MXは非Merakiピアから開始されたVPNトラフィックをブロックできません。 

 

下図は、誤った構成のサイト間ファイアウォールルールの例です。サイト間ファイアウォールルールは発信トラフィックのみに適用されます。このルールではソースサブネットがMX上のLANサブネットではないため、適用されることはありません:

Diagram depicting a scenario in which VPN firewall is misconfigured. Site B is a 3rd party VPN endpoint with subnets 10.0.2.0/24 and 10.0.3.0/24. Site A is an MX with a VPN tunnel to site B and subnet 10.0.1.0/24. Site A has the following VPN firewall rule: Deny any traffic with source 10.0.2.0/24 and destination 10.0.1.0/24. With this configuration traffic to or from 10.0.2.0/24 is still allowed.

 

下図は、正しく適用されるサイト間ファイアウォールルールの例です。10.0.1.0/24サブネット(MX上のLANサブネット)から10.0.2.0/24サブネットへのトラフィックは遮断されます。Diagram depicting a scenario in which VPN firewall is correctly configured. Site B is a 3rd party VPN endpoint with subnets 10.0.2.0/24 and 10.0.3.0/24. Site A is an MX with a VPN tunnel to site B and subnet 10.0.1.0/24. Site A has the following VPN firewall rule: Deny any traffic with source 10.0.1.0/24 and destination 10.0.2.0/24. With this configuration traffic to 10.0.2.0/24 is denied, however, traffic from 10.0.2.0/24 is still allowed.

 

MXを通過するトラフィックがサイト間VPNルートにマッチすると、VPNファイアウォールルールが上から順に適用されます。AutoVPN・非Merakiピア両方へのVPNトラフィックはサイト間ファイアウォールルールのみが適用され、グローバルなレイヤ3ファイアウォールルールは適用されません。

レイヤ7ファイアウォールルール

レイヤ3ファイアウォールルールとは異なり、セキュリティ&SD-WAN > 設定 > ファイアウォールページで設定したレイヤ7ファイアウォールルールは、AutoVPNおよび非Merakiピア宛てのクライアントトラフィックにもローカルで適用されます。

 

注 - グループポリシーが構成されている場合のサイト間ファイアウォールルールの動作

  • サイト間アウトバウンドファイアウォールルールが許可、グループポリシーL3が拒否の場合、トラフィックは拒否されます。

  • サイト間アウトバウンドファイアウォールルールが拒否、グループポリシーL3が許可の場合、トラフィックは拒否されます。

  • サイト間アウトバウンドファイアウォールルールが拒否、グループポリシーがホワイトリストプリセットの場合、トラフィックは拒否されます。

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Reference
    Stage
    Final
  2. Tags
    1. vpn firewall