モバイルルーターでサイト間(Site to Site)VPNを構築する
ネットで検索しても日英共にモバイルルーターを活用したMeraki導入方法の情報が極めて少ないので誰もできるよう実績を記録、共有しておくことにしました。ネットワーク業者何社かに聞きましたが事例が無いか極めて少なく正しい情報は得られませんでした。Merakiはクラウド管理型のネットワーク機器でルーター、スイッチ、ワイヤレスアクセスポイントと幅広くありすべてMerakiに変えたことでずいぶんと機器管理が楽になりました。従来型のASA, Catalystのコマンドの手間とかなんだったのだろうかと思います。サブネット位の概念の理解があれば設定にネットワークエンジニア、Cisco通的な人は要らなくなったのが大きい。
社内LANをWiMAX(+ Cisco Meraki)に置き換えるのはなぜか・・・
●設定作業はブラウザのみ、コマンドなんて一切要らない
●光回線が要らない、ケーブリング作業も要らない
(広く技術が知れ渡るとネットワーク配線業者が仕事が無くなり倒産しますが、もはや時間の問題でしょう)
※国内外のド田舎で光回線に困ることはあってもスマホで動画サイトが見れないことはほぼほぼない。ワイヤレスはそうです、都会でも役に立ちますがド田舎の倉庫や工場で役に立つのです。
●VPN構築に高価なグローバル固定IP契約が要らない。
NATトラバーサル機能によるもの。
参考:https://www.idaten.ne.jp/portal/page/out/secolumn/cisco/meraki/067.html
●応用例として引越し前(施設建設前)にネットワーク機器の準備が完了し(施設建設後)引越し後はネットワーク機器を配置するだけになる(無線で対応できるので光回線引き込み、ケーブリング等有線工事がない、工事日立ち合いなんてのもない)
●切断が一定の時間に達するか復帰した場合、機器変更作業を行った場合等でMerakiクラウドから送られるアラートメールの受信が可能である(従い、本支店のネットワーク・死活監視作業が事実上不要になる)
●リピーター機能でMerakiワイヤレスアクセスポイントを使用するとカバーエリアの延長ができる
●インターネット回線自体、予備機の確保や移動が容易なのでDR/BCPがしやすい
機器の組み合わせ
組み合わせはWiMAX Speed Wi-Fi HOME 5G L11
(有線の口があるのでMerakiのWANポートを直ぐにつなげられる)
UQ WiMAX 5G回線契約とMeraki MX67・MX67Wで実装しました。MRシリーズのワイヤレスアクセスポイント(LANコンロローラーが不要なのです)やMSシリーズのL3スイッチも既に使用しておりましたが、追加でMXのルーターを今回は導入した流れとなります。
実際に動いた設定情報の参考例
WiMAX L11装置側ネットワーク設定
DHCP 192.168.0.2-192.168.0.200
GW 192.168.0.1
●月額100円の「グローバルIPアドレスオプション」を契約
(無くてもなんとかなりそうだったがトラブル対応に時間を要するおそれがあったため。APNで設定すると直ちに利用可。アドレス自体はころころ変わるがグローバルIPアドレスの割り当てはされる。これを使用しないとWAN側アドレスがクラスAプライベートアドレスが割り当てられ障害対応に時間を費やしたこととダイナミックDNSを活用したクライアントVPN(下述)の接続ができませんでした。)※2024/1/5追記 actice directory radius認証でNPSサーバーにアクセスポイントのローカルipアドレスを登録して接続させるには当オプションが必要のようです。グローバルipがWiMAXに割り振られていないとNPSサーバーが上手くNAT変換して通信ができない様子でした
●「IP-MACアドレス バインディング」機能で
Meraki MXのインターネットポートのMACアドレス(「接続中の端末一覧」から事前に調査)を192.168.0.254になるよう設定
●【2024/2/25変更】Meraki MXのコンソールでMXに固定IP(192.168.0.254/Subnet 255.255.255.0/GW 192.168.0.1/DNS 192.168.0.1 8.8.8.8)で割当(この方がIPアドレスの指定、運用が安定し手間がはぶけることが判明)
●「ポート転送」機能でポート範囲1-65535(全ポート)、TCP+UDPを192.168.0.254にポート転送
※セキュリティに懸念がある場合はポートを絞った方がよかろう。ただし、ころころポートが変わるので至難の業かもしれない。MX自体がグローバルIPに直接続されるケースがほとんどだと思うので、そういう意味で考えるとこの設定で問題がないのではないかと思われる。
Meraki MX側設定
●ライセンス登録、機器登録。
はじめての人は次のような資料が参考になる。
https://www.netone-pa.co.jp/catalogue-center/network/
●MX側のWAN設定は工場出荷から変更せずDHCPインターネット接続にしておくことで今後のリセット作業を容易に。
●MXをWiMAXに有線LANでつなげる。WiMAXルーターにつなげたら自動でMerakiのブラウザコンソールに表示がされるのです。
その後、上記「IP-MACアドレス バインディング」をして
MXの再起動するとMXのアドレスは192.168.0.254になることを確認。Merakiコンソールでも192.168.0.254になっているかは確認できます。
●Addressing & VLANsメニューからLAN ConfigでLAN側のアドレス、アドレス帯(VLAN interface IP)を設定し、VPN ModeをEnabledにする。
●Site-to-site VPNでTypeはHub、NAT traversalはAutomaticにする
以上で設定は完了である。物が手に入って1日もあればネットワークの構築(≒工事)は終わった。ネットワーク業者も特別なネットワークコマンド知識も必要ない。設定作業はすべてブラウザで完結した。
その他備忘録
※クライアントVPN機能(IPsec Settings(Windows標準機能)またはAnyConnect Settings)をONにすると、デバイスのAppliance status画面で表示されるMXホスト名 https://*******.dynamic-m.com のホスト名経由で利用可能となる。従来はグローバル固定IPを回避するうえでSoftetherのようなVPN接続ツールを活用していたと思うが企業内で正式なデプロイを考えるとCisco社のAnyConnect(+余裕があればUmbrella契約、Umbrella契約していると今年からAnyConnect利用権がサービスでついてくるようになりました)の方が身が楽になる。AnyConnectの認証をAzureのSAMLと連携させることもしてみたが、MFA認証のSSOができた。Microsoft 365利用環境ではVPN利用者グループに所属させることでAnyConnect VPN利用できるようにすればユーザー管理が極めて楽になるのです。MerakiでVPNユーザーの設定をしなくて済みます。管理はMicrosoft 365で完結します。しかもMicrosoftのMFA認証対応が使えます。
※L3スイッチが入っている環境(本社等)ではつなぐ相手先(支店)のLANのSubnet,Next Hop IP(物理的につながっている本社MX側のLANアドレス)を指定しないとトラフィックが上手く返らないことがある。Merakiクラウドでは認識できているのにPingが通らないとかあればL3スイッチを疑ってみよう。
※同様にクライアントVPN機能(AnyConnect)をMXで使用する場合でL3スイッチが入っている場合、AnyConnectで使用するアドレス帯のSubnet,Next Hop IP(物理的につながっている本社MX側のLANアドレス)を登録する。これも設定しないと使えないことがあるので注意しよう。
※AnyConnectのVPN通信の全てをVPN経由とさせるか
現地でインターネット通信を逃がすかの選択はAnyConnect settingsのClient Routing、Send all traffic except traffic going to these destinationsで指定できる(上記の例でクラスCプライベートアドレス帯のみVPN通信させインターネットはWiMAX側で処理する場合192.168.0.0/16を登録する)
以上です。