Концентратор Azure, VPN с несколькими лучами с использованием устройств безопасности Meraki MX
Я хочу настроить различную инфраструктуру в MS Azure, которая затем будет доступна в нескольких местах, оборудованных устройствами безопасности Cisco Meraki MX. К сожалению, MX еще не поддерживают VPN на основе маршрутов, а Azure поддерживает только сети с несколькими сайтами при использовании VPN на основе маршрутов. Я думаю, что аналогичные проблемы могут существовать с AWS и другими поставщиками облачных услуг.
Я думаю, что смогу обойти это ограничение с помощью виртуального межсетевого экрана, такого как Cisco ASAv, но мне не удалось найти никакой документации или маркетинговые материалы, разъясняющие, что это подходит. Я знаю, что в прошлом использовал концентратор / лучевую VPN с физическими ASA, но у меня нет опыта работы с ASAv.
Есть ли у кого-нибудь опыт работы с концентратором облачного провайдера с ASAv (или любым другим виртуальным брандмауэром), а филиалы разговаривают с использованием брандмауэров, которые не поддерживают IKEv2 или VPN на основе маршрутов, например Meraki MX Cisco ASA и т. Д.?
Как упоминалось выше, мы смогли добиться этого, установив CSR Cisco в Azure. У нас есть 50 MX60W и несколько MX100, которые подключаются к Azure CSR, что позволяет напрямую подключаться к нашим виртуальным серверам Azure.
Конечно, лучшим решением будет установка виртуального MX в Azure. Наш торговый представитель Meraki продолжает обещать, что это произойдет, но пока новостей нет. Недавно он упомянул, что они находятся в стадии бета-тестирования с виртуальным MX в AWS. Поскольку все внимание сосредоточено на настройке облачных хостинговых сред (например, Azure, AWS), я думаю, что Meraki упускает из виду, сколько компаний хотят беспрепятственно соединить все свои местоположения.
Вам понадобится статический IP-адрес на CSR, но вы можете использовать Meraki динамические DNS-имена. Meraki VPN настраивается в разделе VPN для всей организации и распространяется по MX на основе тегов. Фазы 1 и 2 и предварительный общий ключ должны точно совпадать с обеих сторон.
Фаза 1: Шифрование AES256, Аутентификация SHA1, Группа ЦО 5, Срок службы 28800
Фаза 2: Шифрование AES256, Аутентификация SHA1, PFS выключен, Срок службы 28800
Примеры CSR:
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 5
crypto isakmp key *shared-key* address 0.0.0.0 <- all zeroes means allow connections from anything
crypto ipsec transform-set T1 esp-AES 256 esp-SHA-hmac
mode tunnel <- implicit if not specified?
crypto map MERAKIMAP 100 ipsec-isakmp
description -something informative-
set peer -MX-dynamicName.dynamic-m.com- dynamic
set transform-set T1
match address 100
interface GigabitEthernet1
crypto map MERAKIMAP
access-list 100 permit ip 10.10.103.0 0.0.0.255 10.10.164.0 0.0.0.255