今回はMerakiを利用するにあたり必要となるFirewallのルール設定についてまとめておきたいと思います。
Meraki Documentにも記載されているのですが、少し分かりにくく初めてMerakiを利用する際に最低限必要とするFirewallのルールについてまとめておきます。
この記事にてまとめている内容に関しては私がFirewallを設定する上での簡易的なものとなりますので、セキュリティに厳しい要件を伴う場合には、最新のMeraki Documentを参考にして設定を行なってください。
1. Meraki CloudのIPアドレスレンジ(2025年5月現在)
Meraki CloudのIPアドレスレンジは以下の通りです。
・209.206.48.0/20
・216.157.128.0/20
・158.115.128.0/19
・64.62.142.12/32
64.62.142.12に関してはあとで記述するUDP#7351でのみ利用されているようですが、特に問題なければ上記4つのCIDRのアドレスレンジを1つのGroup PolicyとしてFirewallに設定してしまうのが良いと思います。
2.ICMP(必須では無い?)
Merakiは各デバイスから5秒毎に"8.8.8.8"に対してICMPによる疎通確認を行なっています。
最低限この8.8.8.8に対してのみICMPの通信が可能なように設定を行なってください。
Meraki DashboardからPingの疎通確認を行うことも出来ますので、可能であればDestはAnyでも良いと思います。
しかし、Meraki MS、MRにおいてはProxyを介したMeraki Cloudとの接続もサポートされています。
documentation.meraki.com多くのそのような環境ではICMPによる疎通も可能だと思いますので、ICMPによるInternetへの疎通性の確認は必須では無いと思われます。
3.DNS(必要な場合のみ)
多くの企業においては社内にDNSサーバを設置していると思います。
Meraki MS、MRが名前解決に利用するDNSサーバが社内のDNSサーバを利用するということであれば、特に追加での穴あけは必要ないですが、各Meraki Deviceが直接Internet上のDNSサーバを使って名前解決する場合には、Firewallの設定が必要です。
4.NTP
Meraki Deviceは時刻同期のため"pool.ntp.org"を使う必要があります。
5. Meraki Cloudとの通信に必要なPort
MerakiデバイスがMeraki Cloudと通信するにあたって必要となるPortは以下のようになります。
TCP#80,443
UDP#7351
TCP#7734
TCP#7752
宛先は"1"で記述している4つのCIDRを指定してください。
まとめ
Meraki MS、MRをLANに接続し、Meraki Cloudにてオンラインとなるためには上記のFirewallルールの設定を行うのみです。
これ以外にもMRでSplashページの設定等を行う場合には追加のFirewallルールが必要になるかもしれません。
私のLab環境では下のスクリーンショットのようなFirewallルールをMeraki MXに設定していますが、特に問題になるような事象は発生していません。
