Meraki Dashboardでは Firewall Information にてMeraki Cloudに関する通信要件を表示できます。
ここで重要な点は、Meraki Cloudに関する通信しかリストされない点です。 そのため、Meraki MXではAuto VPNトンネルの形成に関わる通信や、Health Check系のモニタリング通信はリストされていません。
筆者は実案件にて危うく見逃しそうになった通信要件があるため、Meraki MXに関わる通信要件を補足情報して紹介します。
Meraki MXに関わる通信要件の補足情報
Auto VPNトンネルの形成に使用する通信要件
Auto VPNトンネルに関わる通信要件の情報は、下記のDocの IPsec tunneling が該当します。
Ports used to contact the VPN registry:
- Source UDP port range 32768-61000
- Destination UDP port 9350 or UDP port 9351
Ports used for IPsec tunneling:
- Source UDP port range 32768-61000
- Destination UDP port range 32768-61000
VPN registry と IPsec tunneling の記載がありますが、VPN registry に関してはFirewall Informationに予め表示されていたので個別の対処は不要でした。
また、IPsec tunneling の通信要件を表で表すと下記のようになります。
| Protocol | Source Address | Source Port | Destination Address | Destination Port |
|---|---|---|---|---|
| UDP | Meraki MX | 32768-61000 | Auto VPN Peer | 32768-61000 |
Meraki MXのAuto VPNは動的IPアドレスでもトンネルを形成できるため、各拠点のMeraki MXが動的IPアドレスの場合は宛先アドレスは Any にせざるを得ません。 もし厳密な制御が必要となる場合は、固定グローバルIPアドレスの契約の検討が必要になってきます。
Health Check系のモニタリング通信に関する通信要件
Meraki MXはUplinkからInternet側への疎通状況を確認するためにモニタリング通信を行っております。
Meraki MXが標準で行うモニタリング通信
Meraki MXは標準でDNS Query, ICMP, HTTP GETのモニタリング通信を行います。
Connectivity Tests
The MX runs tests to determine uplink status:DNS test
- Query the DNS servers (primary or secondary) configured on the internet interface for the following hosts:
meraki.com google.com yahoo.comInternet test
- Pings to either 209.206.55.10 or 8.8.8.8. One ping per second.
- Uses a round-robin technique to send an HTTP GET to http://meraki.com or http://canireachthe.net. An HTTP response of any kind will result in a success.
ARP test
ARP test はセグメントを超えないため、基本的には通信要件の対象から除外します。
DNS Query (DNS test)によるモニタリング通信は、Meraki MX本体のDNS Serverの設定に依存します。
Local Status PageもしくはMeraki Dashboard上で設定値を確認してください。
Uplinkの設定がDHCPによるアドレス取得の場合は、Meraki Dashboard上から動的に取得しているDNS Serverの情報を確認できます。
Uplink statisticsのICMP通信
Meraki MXが標準で行うモニタリング通信とは別に、ユーザーが個別に指定が可能な設定も存在します。
メニュー: Security & SD-WAN > SD-WAN & traffic shaping の設定項目: Uplink statistics で指定した宛先に対してICMPの通信を行います。
デフォルトでは 8.8.8.8 でGoogle Public DNSが宛先に指定されています。
Uplink Statistics
Clicking the Add Your Destination option allows you to add a custom destination for the MX to continually test ICMP connectivity for monitoring latency and packet loss.
モニタリング通信の通信要件の整理
モニタリング通信の通信要件を表で表すと下記のようになります。
| Protocol | Source | Destination | 備考 |
|---|---|---|---|
| DNS | Meraki MX | DNS Serveの指定先 | DNS test の通信要件です。Meraki MX本体の設定に依存します。 |
| ICMP | Meraki MX | 209.206.55.10 | Internet test の通信要件です。 |
| ICMP | Meraki MX | 8.8.8.8 | Internet test の通信要件です。 |
| HTTP | Meraki MX | meraki.com | Internet test の通信要件です。 |
| HTTP | Meraki MX | canireachthe.net | Internet test の通信要件です。 |
| ICMP | Meraki MX | Uplink statisticsの指定先 | Uplink statisticsの設定に依存します。デフォルトでは 8.8.8.8 となります。 |
FQDN宛に対しての通信もあるため、FirewallがFQDN宛の通信をトラッキング出来ない場合は Any での許可が想定されます。
備考
この他にも使用する機能によってはFirewall Informationにリストされていない可能性があります。 また、本記事ではMeraki MXに関して取り上げましたが、他のシリーズにおいても通信要件の漏れがないように実際にFirewallを挟み込んで実機確認を行うと、より安全に顧客環境にリリースできると考えられます。
