Meraki MRのL3ファイアウォールの設定に注意が必要だ

Cisco製品群の1つであるクラウド管理型ネットワークデバイス「Meraki」が近年非常に注目されております!それも非常に簡単に設定ができたり、管理ができたり、リモートワーク環境でも非常に管理面にて利便性が高く人気の製品となります。
また、導入時も非常にスピーディーであり、インターネットへ疎通があるポートにMerakiを接続するだけで使用できます。筆者の中でも非常にお気に入りの製品です!

そこで筆者の中で何度も色んな環境で出会ったMRシリーズ「ファイアウォール機能のデフォルト設定」についてご紹介します。

Meraki MRシリーズのファイアウォールについて

機能について

Meraki MRシリーズはアクセスポイントとなるが、ファイアウォール機能が実装されております。「ファイアウォール」とありますが、UTMのような機能ではなくレイヤー3とレイヤー7の「アクセスリスト(ACL)」となります。(※NATモードの際はアダルトコンテンツフィルタリングができますが。)

レイヤー3レベルのACLはトランスポートプロトコル(UDP、TCP、ICMP)、宛先IPアドレス(セグメント)、宛先ポート番号の指定が可能となり、無線クライアントのトラフィックがMRのアップリンクを通る際に許可/ブロックされます。
注)Ciscoデバイスは基本的に最終行にALL Denyがセットされておりますが、Meraki MRは最終行にALL Allowがセットされています。

レイヤー7レベルのACLはMerakiが事前に用意しているカテゴリ一覧から任意のアプリケーションを指定しDenyをセットする仕様となっております。アプリケーションにはYoutubeやNetflix、Gmail、Boxなど多くのアプリケーションが指定可能です。または、ポート番号、HTTPホスト名、IPアドレス範囲の指定も可能となります。

よくある事象

Merakiは使用する前にDashboardで事前にSSIDの設定や、電波設定などコンフィグをクラウドに保存することで、Merakiデバイスをインターネット接続のできるポートに接続するだけで、事前に設定したSSIDが見えます。そのため、テスト環境では無線部分しか事前に設定していないが為に以下事象が発生します。

meraki acl local deny

 

Meraki MRに接続した無線クライアントはインターネットへの疎通性はありますが他ローカルデバイスに通信ができない事が発生します。これが発生しますとテスト環境のサーバへのPingが失敗したり、デフォルトゲートウェイへの通信が失敗したりなど、トラブルシュートに時間がかかります。筆者のお客さんではこの解決に1日かかった方もいました。

原因

冒頭でもお話している通り原因はMRのファイアウォール設定になります。最終行にALL Allowがありますが、デフォルトではその前に「宛先:Local LANのトラフィックはDeny」が存在します。ここで注意していただきたいのが、デフォルトで「Deny」が設定されている事です!!

meraki default acl deny local

基本的には無線デバイスになるため、テスト段階では見ないことが多いファイアウォールのページになります。実はここに原因となる「罠」があります。この「Local LAN」はプライベートアドレス(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)を指している為、ローカルデバイスへの通信は失敗し、インターネットには通信ができます。

本番環境に導入する前にはパラメータシートなどで細かく見ることが多くなりますが、テスト環境では非常に見逃しやすい仕様となります。本来であればデフォルトで「Allow」にして欲しいですよね。