Концентратор Azure, несколько спиц VPN с использованием Meraki MX Security Appliances
Я хочу настроить различную инфраструктуру в MS Azure, которая затем будет доступна для нескольких местоположений, оснащенных устройствами безопасности Cisco Meraki MX. К сожалению, MX еще не поддерживают VPN на основе маршрутов, и Azure поддерживает только сети с несколькими сайтами при использовании VPN на основе маршрутов. Я думаю, что подобные проблемы могут возникнуть с AWS и другими поставщиками облачных услуг.
Я думаю, что смогу обойти это ограничение, используя виртуальный брандмауэр, такой как Cisco ASAv, но мне не удалось найти какую-либо документацию или маркетинговый материал, который бы давал понять, что это подходит. Я знаю, что в прошлом я делал VPN-концентратор / спикер с физическими ASA, но у меня нет опыта работы с ASAv.
Кто-нибудь имел опыт работы с облачным провайдерским хабом с ASAv (или любым другим виртуальным брандмауэром), а филиал говорил с помощью брандмауэров, которые не поддерживают IKEv2 или VPN на основе маршрутов, таких как Meraki MX, Cisco ASA и т. Д.?
2 ответа
Как упоминалось выше, мы смогли добиться этого, поддержав Cisco CSR в Azure. У нас есть 50 MX60W и несколько MX100, которые подключаются к Azure CSR, что позволяет напрямую подключаться к нашим виртуальным серверам Azure.
Конечно, лучшим решением было бы поддерживать виртуальный MX в Azure. Наш торговый представитель Meraki обещает, что это произойдет, но новостей пока нет. Недавно он упомянул, что они находятся в бета-версии с виртуальным MX в AWS. Сосредоточившись на настройке облачных хостинговых сред (т. Е. Azure, AWS), я думаю, что Мераки упускает из виду то, сколько компаний хотят беспрепятственно подключать все свои местоположения.
Вам потребуется статический IP-адрес в CSR, но вы можете использовать динамические DNS-имена Meraki. Meraki VPN настраивается в разделе VPN для всей Организации и распределяется по MX на основе тегов. Фаза 1 и 2 и предварительный общий ключ должны точно совпадать с обеих сторон.
Этап 1: шифрование AES256, аутентификация SHA1, группа DH 5, срок службы 28800
Этап 2: шифрование AES256, аутентификация SHA1, отключение PFS, срок службы 28800
Пример строки CSR:
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 5
crypto isakmp key *shared-key* address 0.0.0.0 <- all zeroes means allow connections from anything
crypto ipsec transform-set T1 esp-AES 256 esp-SHA-hmac
mode tunnel <- implicit if not specified?
crypto map MERAKIMAP 100 ipsec-isakmp
description -something informative-
set peer -MX-dynamicName.dynamic-m.com- dynamic
set transform-set T1
match address 100
interface GigabitEthernet1
crypto map MERAKIMAP
access-list 100 permit ip 10.10.103.0 0.0.0.255 10.10.164.0 0.0.0.255