Meraki MX (Routed Mode)でのConfiguration Templateを用いたAuto VPNとOSPFの併用ですが、 下記のように設定条件が競合して併用ができません。

• Configuration TemplateでAuto VPNにRouted ModeのMXを参加させる際には、LAN setting を VLANs の設定にする必要があります。
• しかし、Meraki MXのOSPFには設定の条件があり、MXがRouted Modeの場合は LAN setting を Single LAN の設定にしている必要があります。

LAN setting は VLANs と Single LAN の二者択一であるため設定条件が競合します。

ちなみに、Configuration TemplateでSite-to-Site VPNの設定を開いた際に、LAN setting が Single LAN になっていると下記のメッセージが表示されて、Site-to-Site VPNの設定が行えません。

Site-to-site VPN cannot be enabled for a security appliance template unless VLANs are enabled, and at least one VLAN emits unique subnets. To configure site-to-site VPN, first set up VLANs on the Addressing & VLANs page.

本件の影響を受ける具体的な例としては、各拠点にRouted ModeのMXを配置してAuto VPNに参加させつつ、 Configuration Templateで設定を一元的に管理したいシナリオが想定されます。 その上で、静的ルーティングより動的ルーティングが適した環境で、OSPFを用いてルーティングの設計を行おうとすると本制約に引っかかるパターンが考えられます。

また、理解しておくべき前提の話として、MXのOSPFは仕様で、MXのOSPFはルートの広報は行えますが、ルートの学習は行えません。 その癖のある挙動から、一般的なRouterと比較するとOSPFの扱いが難しくなります。 そして、Merakiはシンプルが特徴であり機能が限定的であるため、多機能さを利用した設計のリカバリが行えません。

そのため、もし、拠点にMXをRouted Modeで配置して、MXの配下にOSPFのルートを広報する構成にするのであれば、 そもそもMXでOSPFを使用する前提で導入するのが適しているか否かを考えて、設計段階からリスクを低減していくのが好ましいです。

なお、MXのOSPFのルート学習の制約に関しては、下記のドキュメントに記載があります。

Using OSPF to Advertise Remote VPN Subnets - Cisco Meraki
https://documentation.meraki.com/MX/Site-to-site_VPN/Using_OSPF_to_Advertise_Remote_VPN_Subnets

Note: Please note that the MX will only advertise Meraki Auto VPN routes (including static routes shared into Auto VPN) with OSPF. The MX will need static routes configured for any other local subnets.

本内容は2021年12月頃の情報となります。時間の経過とともに、仕様が変更される可能性もあるので注意してください。