Meraki MXシリーズ で Client VPN 環境を構築

テレワークで需要が高まっているリモートアクセスVPNですが、Meraki MX には「Client VPN」と「AnyConnectVPN」の2つが用意されています。どちらもエンタープライズライセンスで動作させることが可能ですが、AnyConnectを使用するにはシスコの「AnyConnectPlus」と呼ばれるライセンスが追加で必要になります。本記事では「Client VPN」について解説していきます。

参考URL：
https://documentation.meraki.com/MX/Client_VPN/Client_VPN_Overview
https://documentation.meraki.com/MX/AnyConnect_on_the_MX_Appliance

Client VPN の暗号化

クライアントVPNはL2TP / IPプロトコルが使用されます。暗号化方式は以下が使用されます。

Client VPN の設定

それではClient VPN を設定していきます。「セキュリティ＆SD-WAN」　＞　「設定」　＞　「クライアントVPN」　を開きます。

「クライアントVPNサーバ」を「有効」に設定

Client VPN のパラメータを設定します。

Client VPN の認証

つづいて認証方式を設定します。Client VPN の認証には「Meraki認証」「RADIUS認証」「Active Directory認証」の３つから選択できます。

Meraki認証
Merakiクラウドにユーザー情報を登録して、クライアントVPNの接続を認証させます。

認証で「Merakiクラウド認証」を選択、「新規ユーザの追加」ボタンをクリック

ユーザを作成します。

RADIUS認証
自前でRADIUSサーバーを用意してクライアントVPNの接続を認証させます。

認証で「RADIUS」を選択、「RADIUSの追加」ボタンをクリック。RADIUSサーバーのIPアドレス、ポート番号、共有パスワードを入力。

Radius認証を使った検証環境の構築方法は以下を参照ください。

Windwos10でActive Directory サーバーを構築

Windows10でRadiusサーバーを構築

参考URL：
https://documentation.meraki.com/MX/Client_VPN/Configuring_RADIUS_Authentication_with_Client_VPN

Active Directory認証
Active Directoryドメイン資格情報を使用してクライアントVPNの接続を認証させます。

認証で「Active Directory」を選択、Active Directoryサーバのパラメータを設定します。

Active Directory 認証を使った検証環境の構築方法は以下を参照ください。

Windows Serverで自己署名証明書を使ったLDAPS環境を構築

参考URL：
https://documentation.meraki.com/MX/Content_Filtering_and_Threat_Protection/Configuring_Active_Directory_with_MX_Security_Appliances#Integrating_with_Client_VPN

クライアント側の準備

「Client VPN」の接続にはクライアントに予め実装されているソフトウェアを使って接続を行います。Windows、MAC、iOS、Android、Linuxなどの一般的なOSには標準で用意されています。そのため追加のソフトウェアなしでリモートアクセスVPN接続が可能です。各OSデバイス毎でクライアントVPN接続を構成する方法の詳細な手順については、以下を参照してください。

追記：Android12の時点でL2TP/IPsecは非推奨となりました。