Oi amigos, estou pensando em mudar do meu setup atual para o mundo SD-WAN. Atualmente, temos alguns stacks envelhecidos de Ubiquiti EdgeRouter e EdgeSwitch nas minhas filiais.
Além dos recursos de SD-WAN, estou realmente ansioso pelo UTM que atualmente falta no ubnt. Nossas filiais funcionam 24/7, então o recurso que mais vou aproveitar será o failover de internet dupla. Algumas das minhas filiais estão em locais com banda larga mediana, e sofremos quando há uma queda no ISP. Com a implantação do Meraki MX, também vou adicionar um segundo circuito de internet para resolver quedas de internet quando uma WAN estiver fora do ar.
Tudo isso para dizer que a minha dúvida restante é se poderei ter túneis VPN para pares não-Meraki aproveitando os links WAN duplos. Alguns dos nossos sistemas de pedidos só são acessíveis por uma VPN S2S, e quando a internet cai, nossa capacidade de fazer pedidos também cai.
Tentei perguntar ao nosso VAR, mas eles não tinham certeza. A única coisa que disseram foi que as VPNs não-Meraki usarão a WAN1 por padrão, e mudam para WAN2 somente se a WAN1 estiver fora do ar. Isso é bom, mas gostaria de poder manter a VPN ativa se a WAN1 cair.
Resumindo; minhas VPNs de um MX para pares não Meraki podem aproveitar a WAN dupla se a WAN primária cair? Os pontos remotos são controlados pelos fornecedores, com diferentes dispositivos. Alguns usam ASAs, outros IOS e alguns Palo Alto.
Eu odeio Meraki para pares não-Meraki, então configurei outro roteador Cisco IOS atrás do meu Meraki principal e configurei 2 IPs públicos e um IP SLA no lado remoto para fazer a troca.
Sua resposta está na sua pergunta. A VPN não-Meraki usará apenas WAN1, mesmo se você tiver duas conexões de internet. Se a WAN1 cair, ela reconstrói o túnel na WAN2, o que pode levar um momento, então o failover não é instantâneo. O MX não manterá um túnel não-Meraki em ambas as WANs ao mesmo tempo. É importante também ler sobre o monitor de conexão, pois é isso que define “fora do ar” para um MX. Em resumo, se o MX perder a conectividade com a internet, estará fora do ar, mesmo que a interface física esteja ativa, e isso forçará o failover.
Se o outro lado da sua VPN puder usar um FQDN em vez de um IP, você provavelmente pode fazer um failover improvisado. A atualização dinâmica de DNS do Meraki nem sempre é instantânea, mas é bastante rápida.
Isso exigiria que seu link de WAN1 caísse completamente, não apenas com perda de pacotes ou outros problemas.
Tenho uma malha SD-WAN configurada com alguns VPNs não-Meraki. As conexões SD-WAN funcionam bem.
As conexões não-Meraki funcionam, mas não são tão boas quanto as conexões Meraki.
Elas reconectam bem no failover para a WAN2 (onde meus pontos finais permitem isso)
Conexões não Meraki podem ser difíceis de configurar, pois os logs não são bons.
Você não recebe alertas de status para elas e não pode enviar emails de alerta se uma cair.
A forma como a organização Meraki funciona significa que sua lista de conexões não-Meraki é por organização, não por aparelho MX.
Isso significa que todos os seus dispositivos MX tentarão se conectar a todos os pontos finais, então, certifique-se de que a configuração do ponto final pode lidar com isso, e espere ver status desconectados na organização Meraki.
Se eu estivesse fazendo isso com uma grande organização e muitas conexões não Meraki, provavelmente escolheria outra solução para lidar com meus VPNs não-Meraki.
Interessante… Estava me perguntando se o parceiro poderia definir dois IPs de peer? A maneira como nosso tráfego típico funciona é que meu lado geralmente inicia tudo. Idealmente, o peer aceitaria simplesmente o novo túnel do segundo IP, já que foi definido para esse túnel.
Meraki é ótimo para VPN para outro Meraki. Parear com um não-Meraki, na minha opinião, é deliberadamente mais trabalhoso do que deveria ser. Não acho que eles tenham interesse em facilitar a integração fora do ecossistema deles.
Na minha experiência - que inclui uma VPN Azure para 10-12 sites para uma organização e um túnel Meraki para Fortinet para outra organização - assim que você configura todas as políticas alinhadas em ambos os lados e conecta, é muito confiável. Troubleshooting do lado Meraki é insuportavelmente limitado, então essa foi minha maior frustração com ele.
Em relação à sua pergunta original, eu precisaria verificar a documentação para ter certeza, mas minha compreensão é que o failover de VPN se comporta da mesma forma para qualquer tipo de peer.