Concentrador Azure, VPN de múltiples radios utilizando Meraki MX Security Appliances

Quiero configurar varias infraestructuras en MS Azure que luego estarán disponibles para múltiples ubicaciones que están equipadas con Cisco Meraki MX Security Appliances. Desafortunadamente, los MXs aún no soportan VPNs basadas en routes, y Azure sólo soporta múltiples networkinges de sitio a sitio cuando se utiliza VPN basada en ruta. Creo que pueden existir problemas similares con AWS y otros proveedores de services en la nube.

Creo que puedo ser capaz de evitar esta limitación usando un cortafuegos virtual, como Cisco ASAv, pero no he podido encontrar ninguna documentation o material de marketing que permita aclarar que esto es adecuado. Sé que he hecho hub / spoke VPN con ASAs físicas en el pasado, pero no tengo experiencia con ASAv.

¿Alguien tiene alguna experiencia en la creación de cloud hub con ASAv (o cualquier otro cortafuegos virtual) y la oficina de la sucursal habló utilizando firewalls que no soportan IKEv2 o VPNs de ruta, como Meraki MX, Cisco ASA etc?

2 Solutions collect form web for “Concentrador Azure, VPN de múltiples radios utilizando Meraki MX Security Appliances”

Como se mencionó anteriormente, hemos podido lograr esto poniendo de pie un Cisco CSR en Azure. Tenemos 50 MX60W y unos MX100 todos los que se conectan en el CSR de Azure que entonces permite una connection directa a nuestros serveres virtuales de Azure.

Por supuesto, la mejor solución sería poner de pie un MX virtual en Azure. Nuestro representante de ventas Meraki sigue prometiendo que esto está llegando, pero no hay noticias todavía. Mencionó recientemente que están en beta con un MX virtual en AWS. Con todo el foco en la creación de entornos de alojamiento basados ​​en la nube (es decir, Azure, AWS), creo que Meraki está perdiendo cuántas empresas quieren conectar todas sus ubicaciones sin problemas.

Necesitará un IP estático en el CSR, pero puede utilizar los nombres DNS dynamics de Meraki. El Meraki VPN está configurado en la sección VPN de Organización y distribuido a los MX basados ​​en tags. Las fases 1 y 2 y la key precompartida tienen que coincidir exactamente en ambos lados.

Fase 1: Encriptación AES256, Autenticación SHA1, DH grupo 5, Tiempo de vida 28800

Fase 2: Cifrado AES256, Autenticación SHA1, PFS apagado, Tiempo de vida 28800

Líneas de ejemplo CSR:

crypto isakmp policy 10 encr aes 256 hash sha authentication pre-share group 5 crypto isakmp key *shanetworking-key* address 0.0.0.0 <- all zeroes means allow connections from anything crypto ipsec transform-set T1 esp-AES 256 esp-SHA-hmac mode tunnel <- implicit if not specified? crypto map MERAKIMAP 100 ipsec-isakmp description -something informative- set peer -MX-dynamicName.dynamic-m.com- dynamic set transform-set T1 match address 100 interface GigabitEthernet1 crypto map MERAKIMAP access-list 100 permit ip 10.10.103.0 0.0.0.255 10.10.164.0 0.0.0.255 
  • Diferencias entre los túneles de SSH y OpenVPN
  • SonicWALL SSL VPN Marcadores HTTP
  • OpenSwan + xl2tpd VPN: ¿Cómo puedo compartir la connection a Internet
  • Problema de connection a través de RDP en Windows VPN
  • La connection a un server de OpenVPN Connect rompe IPv6
  • ESXi :: Management Console en IP privada sobre VPN
  • Conexión a un servidor remoto a través de una VPN cuando la dirección de subred de red local entra en conflicto con una red remota
  • La connection VPN hace que DNS utilice un server DNS incorrecto
  • ¿Cómo configuro OpenSwan para permitir conexiones IPsec (no L2TP) puras desde un iPhone?
  • No se puede acceder al server de database a través de VPN
  • Cisco IPSEC VPN Velocidad lenta
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.