こんにちは。Meraki担当のDsasです。

　最近パートナー様向けのセミナーなどでも発表があったので、すでにご存じの方もおられるかと思いますが、ついにMeraki MXでAnyConnect VPN(SSL-VPN)によるリモートアクセスがサポートされます！
　(※注　21年６月現在　バージョン16.xのベータ版OSでのサポートとなります)

　これまでMeraki MXでは各OSに標準で搭載されるVPNクライアントを使用したL2TPv3 over IPSecによるVPNのみのサポートだったのですが、接続性やSSL-VPNの優位性という観点からCisco社純正のVPNクライアントソフトであるAnyConnectクライアントを利用したい、というお声は多く頂いておりましたのでこれは朗報です！

ということで早速ですが使ってみたいと思いますが、その前に3点ほど注意点です。
■2021年６月現在、AnyConnect VPNはベータ版の16.xのみでサポート
　現状AnyConnectを使用する場合、ベータ版リリースの16.xにアップグレードいただく必要があります。ベータ版は新機能が追加される分安定版に比べてバグなどの不具合が発生するリスクが高いため、実環境でご利用される場合にはご注意ください。
※最新のベータ版ファームウェアであれば、Cisco Merakiのサポートおよびエンジニアリングチームによって
　完全にサポートされておりますので、メーカーからの支援は通常通り受けることが可能です。
https://www.cisco.com/c/m/ja_jp/meraki/documentation/general-administration/firmware-upgrades/meraki-firmware-release-process.html

ベータ版を使用する場合、左側メニューのオーガナイゼーション＞ファームウェアアップグレード
から対象機器を選択してアップグレードを実行します。
■AnyConnectライセンスの購入が必須
　AnyConnectクライアントのご利用にあたっては、利用されるユーザ様の人数に応じてライセンスをご購入頂く必要がございます。
　実は、今のベータ版では設定上はライセンスを買っていなくても使えてしまうのですが、正式リリースのタイミングでライセンスを投入しないと使えなくなるとのことです。
　〈参考〉AnyConnect on the MX Appliance
　https://documentation.meraki.com/MX/AnyConnect_on_the_MX_Appliance
ですので、検証用途でお試し頂く場合を除いてご利用の際には必ずAnyConnectライセンスをご購入下さい。DISの営業にMXでAnyConnect使うためのライセンスを何ユーザ分、とご用命頂ければすぐにお見積り差し上げられるかと思います。

■MX64.65では現状未サポート
　小規模拠点向けモデルのMX64/65シリーズでは現状AnyConnectの設定がサポートされません。（将来的にサポートの予定はあるとのことです。）

　前置きが長くなりましたが設定画面を見ていきます。前述の通りMXのOSを16.xに更新してから左側メニューからセキュリティ&SD-WAN＞クライアントVPNのページを開くと、、、増えてますね。
　操作感は元のクライアントVPNと同じでとてもシンプルです。必須の設定項目としては、
　　1．    AnyConnectを有効にする
　　2．    払い出すサブネットを決める
　　3．    認証方法を選択する(Meraki認証 or RADIUS or Active Directory)
　とこれだけですので、VPNの設定としては5分もあればできてしまいます。また、従来のクライアントVPNと同様にダイナミックDNSが標準で使えるのもうれしいですね。

　また、AnyConnectのクライアントソフトも直接Merakiのダッシュボードからダウンロードできる親切設計でした。
　ちなみに、元々MerakiのクライアントVPNではなかった設定項目としては、プロファイルとクライアントルーティングの2つが挙げられます。

　プロファイルは、AnyConnectクライアントに払い出す設定ファイルのことで、こちらを利用することでクライアントに対して詳細な制御を行うことが可能になります。
　クライアントと一緒にプロファイルエディターという専用ツールもダッシュボードからダウンロードできるようになっています。
　
　クライアントルーティング機能は、AnyConnectクライアントのユーザに対してすべての通信をVPNに流すのではなく、指定した通信のみをVPNに流す（または流さない）という制御を行うための機能です。（一般的にはスプリットトンネルと呼ばれる機能です）
　従来MerakiのクライアントVPNではスプリットトンネルを行う場合端末側で別途宛先の設定を行う必要がありましたが、AnyConnectクライアントを利用する場合にはMeraki側の設定のみでこうした制御が可能になります。
　ここまで設定したら、インストールしたAnyConnectクライアントを立ち上げて、ダッシュボードからコピーしたホスト名を入力すれば、、、つながりました！
　正直拍子抜けするくらい簡単です。シンプルすぎてASAなどで細かく作りこまれていたユーザ様にはあまり向かないかもしれませんが、手軽にクライアントVPNを使いたい、というお客様にはぜひおすすめです。

　私もこれまで拠点間VPNがMXの最大の特徴としてこれまでご提案していましたが、メーカーの純正VPNクライアントを使ったリモートアクセスVPNがサポートされることでMXの提案の幅はさらに広がりますね。