こんにちは。
Meraki担当のDSASです。

今回は以前の記事でも少しだけ触れました「既存ファイアウォール配下にMeraki機器を設置する場合の注意点」についてもう少し詳しく紹介したいと思います。

今日は「他社ファイアウォール配下に設置する場合の注意点」です。

まず最初に、我々がMerakiのハンズオントレーニングを実施するとき、まれに貸会議室のインターネット回線を借りることがあるのですが、これまでのところ一度も会場のファイアウォールの問題で、Merakiデバイスとクラウド(ダッシュボード)が接続できなかったことはありません。
Merakiは通常のFirewallであれば通信が止められないような仕組みがあるからです。
その仕組みを紹介します。

まずは各Merakiデバイスとダッシュボードの接続の流れを紹介します。
Merakiデバイスはそれぞれが個別に安全なトンネル(仮想的な通信経路でVPNのようなもの)を介してクラウドのダッシュボードと接続します。
ダッシュボードは当然インターネット上に存在するため、このトンネル接続の通信は基本的には各Merakiデバイス側から発信されます。
一度トンネルが接続されると各Merakiデバイスは、時々ダッシュボードと通信を行うことで接続を維持します。
ここでのポイントはトンネル接続の通信が「Merakiデバイス側から発信される」ということです。
特別な設定をしていない限りファイアウォールは、LAN側(Merakiデバイス側)から発生したWAN側への通信を止めることはありません。
（逆にWAN側から発生したLAN側への接続は止めます。
例えばオートロックのドアのようなもので、家を出るのは自由ですが、出た人しか帰宅できませんし、住民以外は勝手に侵入できないというイメージです。）

まれに特定の通信に対しては、LAN側から発生した通信であっても止めるというファイアウォールを実装しているケースがあります。
例えば、ホットスポットのような場所でPCからのリモートアクセスIPsec VPNの通信を止めるようにしておけば、業務用途での利用をある程度防ぐことも可能です。

そのようなファイアウォールを実装している場所では、Merakiが使用する通信に関してはファイアウォールでブロックされないようにファイアウォール側の設定変更が必要です。
使用する通信の一覧はダッシュボードの管理画面から確認することが可能です。

具体的には　ヘルプ＞ファイアウォール情報　から確認可能です。
図1に弊社のファイアウォール情報をサンプルとして表示しておりますが、通信に必要なプロトコルやポートやDirection(方向)は全てLAN側からWAN側への方向を示す「outbound」となっていることがご確認頂けるかと思います。

最後に注意点としまして、1点覚えておいて頂きたいのですが、
ダッシュボードのIPアドレスが変わる可能性があります。
もしも特定のグローバルIPアドレスを持つサイトしかアクセスさせないような厳しいセキュリティのネットワークにMerakiを導入できるようになった場合は、
ダッシュボードのIPアドレス変更に合わせてファイアウォールの設定変更が必要になってしまいます。
もちろんその際はMerakiから管理者への案内があります。
前回はメールが届きました。（英語でしたが。。）

詳細は以下のURLをご確認ください。
https://documentation.meraki.com/zGeneral_Administration/Other_Topics/Firewall_Rules_for_Cloud_Connectivity

以上です。

▲トップへ