Meraki MXはAuto VPNトンネルを通るOutbound方向の通信に対しては Site-to-site outbound firewall
でアクセス制御を行えます。
ただし、MerakiのOrganization全体で共通の設定となります。Network単位の適用ではないので混同しないように注意してください。
Site-to-site outbound firewall
の設定自体は各Networkより、メニュー: Security & SD-WAN > Site-to-site VPN
から設定を行えます。
ですが、Organization全体で共通の設定となるため Organization-wide settings
のセクション配下に表示されており、どのNetworkから設定しても共通の設定が保持されます。
そして、Network単位ではなくOrganization全体での適用となるため、アクセス制御のルールの書き方の粒度も意識して設定する必要が出てきます。
仮にNetwork単位の適用であれば、送信元や宛先にAnyに指定しても実質的にそのNetworkのMXを視点 (中心)としたものになりますが、 Organization全体で共通に適用される設定となっているため、送信元や宛先を明確に意識して指定する必要が出てきます。
下記のイメージ図は実際の挙動を表しています。
下記のイメージ図は、仮にNetwork単位で設定が可能であった場合を表しており、実際の挙動とは異なります。 Network単位の場合は、送信元をAnyにしてもOutbound方向への適用のため、送信元は実質的にMeraki MXのLAN側セグメントに影響範囲が限定されます。 ですが、それとは対照的にOrganization全体の共通で送信元をAnyとした場合は、どの拠点を送信元にしても対象に入ってしまい意味合いが変わってきてしまいます。
イメージ図ではマルチ テナント環境のSared Service (共通サービス)への一方的なアクセスになっていますが、 環境によっては、SpokeからHub、HubからSpoke、SpokeからSpoke、HubからHubのような様々な通信フローが考えられるため俯瞰的に捉えて考慮漏れが起きないようにしてください。
また、Site-to-site outbound firewall
はStatefulであるため、戻りの通信は自動的に許可されるようになっています。