Meraki MX IPoE(DS-Lite)環境でRemote Access VPNを使う方法

Meraki MX

日本におけるブロードバンドインターネット環境は、しばらくPPPoEを利用するケースがこれまでは多数派となっていました。
NTTにおけるPPPoEのキャパシティプランニングの関係でユーザー数の多くなったPPPoE環境ではインターネットトラフィックが集中する時間帯では帯域の確保が難しく、それを解決するためにNGN(IPv6)をベースとしたIPoE環境にシフトしているのが2023年現在の状況だと思います。

PPPoEにおいては、Global IPアドレスが付与されているためそのIPアドレスを利用してRemote Access VPNを行うことが可能でした。

IPoEにおいてはDS-LiteとMAP-Eの接続方法があるのですが、DS-Liteではキャリア側でNATされるため自宅に設置される機器ではGlobal IPを持つことができなくなってしまいました。

そんなIPoE DS-Lite環境でMeraki MXを使ったRemote Access VPNを行う方法をまとめておきます。

Cisco Meraki MX68 Firewall Plus MX68 高度なセキュリティとサポート 3YR BDL

Cisco Meraki MX68 Firewall Plus MX68 高度なセキュリティとサポート 3YR BDL

Amazon

機器構成

今回の解説ではWAN設定は割愛します。
事前にPPPoE等の設定を完了した状態で次に進んでください。

IPoE環境では(恐らく)もれなくPPPoEのアカウントも付与されていると思います。
IPoEでは使うことのなくなったPPPoEアカウントを再び利用することでRemote Access VPNを実現します。

物理構成は、

となります。
MXのWAN1、2の2つのポートを利用します。
上の図のWAN1の先に接続されるルータ(我が家ではISR4K)でDS-LiteによるIPv4 over IPv6のトンネルングを実現します。
WAN2はPPPoEのポートとして利用します。
物理回線は1本のみとなるためHUBを設置しその先のGPON(ONU)に接続します。

それを論理構成にしてみると、

となります。
細かなコンポーネントは省略していますが、WAN1はIPoE(DS-Lite)を介してInternetへ疎通し、WAN2はPPPoEを使ってInternetへの接続を行うことになります。

MXの設定

上記論路構成を行うためMXの設定を開始します。
セキュリティ&SD-WAN > 設定 > SD-WAN&トラフィックシェーピング」へ移動します。
アップリンクの選択」から「プライマリアップリンク」を「WAN2」に設定します。

これはMeraki MXの仕様でRemote Access VPNが有効となるポートはプライマリアップリンクに限られるためになります。
余談とはなりますが、プライマリアップリンクを使ってMeraki Cloudとの通信も行われます。

次に「ロードバランシング」を「無効」となっていることを確認します。

有効であった場合にはWAN1、2両方を使ってクライアントからのInternetアクセスが行われてしまうため無効にし片寄せを行います。

この状況では、プライマリアップリンク(WAN2)を使ってInternet通信が行われてしまうため、正常動作時はWAN1を強制的に使わせるように「アップリンク選択ポリシー」の設定を行います。
SDN-WANポリシー」から「カスタム表現」で設定を行います。
送信元」をLANのサブネットをCIDR形式で記述します。
優先アップリンク」を「WAN1」に指定し、「次の条件でフェイルオーバ」では「アップリンクがダウン」を選択します。

基本設定はこれで完了です。
WAN2(PPPoE)を使ってRemote Access VPNを可能にしつつも、Internet通信はWAN1(IPoE)を使って行う設定を行いました。

Remote Access VPN設定

今回はAnyConnectを使ったRemote Accss VPN設定を行います。
セキュリティ&SD-WAN > 設定 > クライアントVPN」へ移動します。
AnyConnect設定」タブをクリックし、「AnyConnect Client VPN」を「有効」に設定します。

認証とアクセス」で「Merakiクラウド認証」を選択します。
実際には利用される環境に合わせてRADIUS認証等を選択してください。

クライアントにアサインされるサブネットを設定します。

最後にRemote Access VPNで利用するユーザ設定を行います。
詳細は割愛します。。

AnyConnectをセットアップ

今回はiPadにAnyConnectをインストールして接続確認を行います。
まずはWAN2(PPPoE)で取得したIPアドレスを使ったDynamic DNSのホスト名を確認します。
引き続き「セキュリティ&SD-WAN > 設定 > クライアントVPN」から「ホスト名」を確認します。

このホスト名をコピーして記憶しておきます。
そしてAnyConnectのサーバーアドレスとして設定を行います。

AnyConnectの設定は以上です。

あとは接続試験を行い無事VPN接続ができることを確認して全ての作業は終了です。

MX67-HW Cisco Meraki Cloud Managed Firewall 3 Year Enterprise License LIC-ENT-3YR

MX67-HW Cisco Meraki Cloud Managed Firewall 3 Year Enterprise License LIC-ENT-3YR

Amazon

まとめ

一見不可能に思えるIPoE(DS-Lite)環境でのRemote Access VPN接続ですが、この方法を使うことによって可能になります。
自宅にMXを設置して自宅のNAS等への接続を行う必要がある場合はぜひお試しください。