Se você tem uma topologia SD-WAN com Meraki com sites hub e spoke, é possível ter VPNs IPSEC para terceiros no site hub, e depois enviar essas rotas para o SD-WAN? Pelo que li, parece que você só pode enviar rotas estáticas e rotas conectadas para o SD-WAN. Pelo que entendi, Meraki faz apenas VPNs IPSEC baseadas em políticas, então você não terá rotas estáticas para os terceiros remotos. Quero apenas garantir que isso seja possível, mas infelizmente não consigo testar em laboratório.
se a rede da terceiro for como outro site spoke, você não pode ter faixas de sub-rede sobrepostas (isso se aplica a qualquer sub-rede na malha, veja prioridade de roteamento). O tráfego entre a rede do terceiro e qualquer site spoke(s) teria que passar pelo site hub, o que poderia adicionar muita latência. É também um único túnel para todo o tráfego destinado às “sub-redes privadas” definidas, sem redundância.
Criar uma VPN IPSEC de cada spoke para a VPN de terceiros - Gratuito
Adicionar um MX na localização da terceira parte, seja em modo roteado ou com uma conexão dedicada, e se for de baixo uso, você até poderia usar um Z3 (mas com limitações de segurança e velocidade) - $$$
Adicionar outro MX ao site hub, em uma Organização separada da rede principal, mas ainda instalado na mesma localização física do hub, e então fazer o roteamento tradicional do hub para o novo MX e anunciar essas rotas tradicionais em todas as tabelas de roteamento SD-WAN. - $$$
Ao configurar uma VPN para uma terceira parte, você pode colocar as sub-redes remotas, mas não sub-redes locais. Quais sub-redes ela envia como parte do domínio de criptografia?
Inadministrável e não escalável; você poderia usar netgate/pfsense (por favor, não)
Colocar seu hardware em um terceiro lado é … difícil e em caso de problema é uma dor de cabeça grande e sim $$$
Estúpido, por que você deveria pagar por uma segunda plataforma de VPN? E sim $$$
Meraki é útil, mas o caso de uso é apenas conectar seus próprios sites controlados. Qualquer outra coisa é como enfiar sua cabeça em um liquidificador.
Haha, é ótimo quando o suporte joga o link da documentação na sua cara como se você não tivesse lido aquela única página da documentação já sobre o assunto.
Definitivamente depende da escala, mas se a quantidade de spokes for baixa o suficiente, todos os lados do spoke estão feitos, pois VPNs não Meraki são organizacionais, cada spoke já está usando todos os mesmos parâmetros usados para qualquer site, então toda configuração está em uma única área no Painel Meraki.
Depois, o lado do hub precisa configurar para cada um desses IPs públicos dos MX ou aceitar qualquer IP, confiando apenas nos parâmetros de autenticação VPN para segurança.
Não é uma opção preferida, mas é completamente viável.
Depende do caso de uso, mas é 50/50
Pode fazer sentido para várias pessoas, especialmente se você tiver muitos sites no Meraki que fazem todo sentido para o ecossistema e então uma nova exigência está forçando a necessidade. Pode ser importante ou insignificante. Fiz essa solução para muitos clientes no passado e ainda a projeto hoje.
Mas, claro, concordo que eles deveriam transformar isso em um recurso, mas definitivamente não é um fator decisivo lol.
Não, você só precisa daquele MX em uma rede diferente, para evitar as regras de HA que não permitem outros MX no mesmo site, a menos que seja para HA.
O restante é roteamento tradicional. Um novo MX em rede diferente, mas na mesma localização do Hub, construirá apenas túneis IPSEC com a terceira parte, sem funções SDWAN. O MX do hub roteará todo o tráfego destinado às sub-redes VPN da terceira parte para o novo MX, via rota estática, e anunciará essa rota estática para todos os membros do SDWAN. Então, o novo MX roteará todas as rotas resumo RFC 1918 para o MX do Hub.
Edit: Sim, você precisa configurá-lo em uma organização diferente, pois precisa ativar a SDWAN no MX para configurar VPNs de terceiros.
Infelizmente, é verdade com muitos dos serviços deles. Pode me dizer alguns problemas que você enfrentou? Não usei IPSEC neles, mas estou temeroso. Para começar, VPN baseada em políticas? Gross..
É sempre difícil colocar seu hardware em um terceiro, em uma DMZ em uma VLAN, redundâncias, blá. Então não. Não é 50/50, mas 95/5.
Vou pagar por uma segunda plataforma de VPN para conectar um maldito terceiro? Ou não? E não é só o hardware. Tem alojamento; manutenção; atualizações; endereços IP escassos; monitoramento, lembrei de licenças.
Eles nunca farão do iosec uma funcionalidade de auto VPN. A primeira vez que encontrei isso foi há 9 anos.
Estou configurando isso agora usando a opção 1. Assim como você disse, as VPNs não Meraki são organizacionais. Tenho a opção de disponibilidade configurada para “Todas as redes”. O tráfego funciona do meu escritório principal, mas nada dos lados das spoke. Esperava que fosse só configurar as Meraki nas minhas filiais com VPN, mas como ela já está lá, estou confuso sobre o motivo de não estar funcionando. Existe alguma outra configuração que preciso fazer?
Não, você precisa e deve colocá-lo em uma organização diferente. No MX usado para VPN de terceiros, é necessário ativar a VPN automática e ativar a VPN automática para as rotas que deseja incluir na VPN de terceiros. É assim que se configura. E provavelmente você não quer que as rotas sejam incluídas tanto na VPN automática quanto na VPN de terceiros, por isso precisa estar em uma organização diferente.