Meraki

Meraki 第150回「Cisco Secure Connectから拠点のグローバルIPアドレスを使用してみた」

こんにちはMeraki製品担当の林です。

今回はSecureConnectについて少し変則的な構成なのですが、下図のような接続を試験してみましたのでご紹介します。

※今回の構成はあくまで設定可能であった事例となり、シスコ様で紹介されているユースケースではありませんので、ご利用になる際には必ず事前にご試験頂けるようお願い致します。

今回やりたいこと

まず背景についてですが、通常SecureConnectでは全ての通信を一旦クラウドに集めてからインターネットに出しますので、送信元グローバルIPアドレスとしてクラウド側で用意されている以下のIPアドレスプールからいずれかのIPアドレスが割り当てられます。

 ・146.112.0.0/16

 ・151.186.0.0/16

・155.190.0.0/16 

 

そのため、宛先のサイトやサービスでグローバルIPアドレスによるアクセス制限を使用されている場合には送信元となるIPアドレスを指定することが難しくなります。

こうした課題を解決するオプションとしてReservedIPがあるのですが、次のようなご要件から他の手段を検討されたいというご要望を頂くことがあります。

 ・TCP80/443以外のポートを使用する必要がある。

 ・ユーザ様の規模によっては費用が割高に見えてしまう。

 ・既存のグローバルIPアドレスを使い続けたい

 

そこで、冒頭のイメージの様に一旦任意の拠点のMXを経由させて、拠点のグローバルIPアドレスからアクセスさせるような構成をやってみよう、というわけです。

 

前置きが長くなりましたが、まず結論からお伝えするとあっさりとできました。

すでにVPN経由でSecure Connectから拠点へのリモートアクセスが可能な場合、追加で行う設定は以下の通りです。

 

・拠点のMXに対して特定のサイトへのスタティックルートを追加する

・Secure Connectのクラウドファイアウォールに許可ルールを追加する

 

 まず、スタティックルートの追加ですが普通にMXでスタティックルートを追加します。この際登録できるのはCIDR形式でのサブネットのみとなりますので、ドメインでの宛先指定は今回ご紹介する仕組みでは行うことができません。

 また、ネクストホップの指定もIPアドレスとなりますので、MXが直接回線を収容している場合にはデフォルトゲートウェイとして使用できるIPアドレスをキャリアに対してご確認ください。

 なお、この経路はVPN越しにSecure Connect側の仮想MXに対して伝搬される必要がありますので、VPNモードは必ず有効とします。

 上記のルートを保存すると、Meraki MXのAuto VPNの仕組みを使ってSecure Connect側にも経路が追加されます。(Meraki Auto VPNについてはこちら)

 

 個人的には、Secure Connectを経由する際、宛先がグローバルIPアドレスの場合でも拠点MXに対して折り返すようなルーティングが書けるのか?という点が懸念点でしたが、すんなり成功しましたね!

 

 あとは追加でクラウドファイアウォールのルールを追加します。

Secure Connectの場合、拠点間でやりとりされるトラフィックに関してはデフォルトで全て拒否のポリシーが掛かれていますので、今回拠点MX経由でアクセスするグローバルIPアドレス宛の許可ルールを追加することが必要です。

アプリケーションとして宛先を追加

プライベートファイアウォールルールに作成したアプリケーションを追加

最後にこの構成についての注意点ですが、通信が拠点MXに集中する構成となるため大容量の通信が必要なケースではお勧めできません。

また、グローバルIPアドレスを大量に保有するパブリッククラウドのようなサービスでは、宛先IPアドレスのメンテナンスの手間が煩雑になり現実的ではありません。

こうしたケースでは、冒頭にご紹介したReserved IPをご検討頂くか、IDaaSのようなグローバルIPアドレス以外でのアクセス制御手段をご検討ください。

 

今回は以上です。

最後までお読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中!

製品情報や導入事例を掲載中!

使いやすいと好評!選び方ガイド無料DL!

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事