Hola a todos,
Soy nuevo en el mundo de los dispositivos de seguridad Meraki y recientemente reemplacé nuestro ASA envejecido por un MX250. Una de nuestras conexiones VPN sitio-a-sitio con un proveedor externo no funciona porque me dicen que estamos enviando todos nuestros subredes internas (muchas) y que se superponen con otras subredes de clientes que ya tienen. Intentamos limitar solo a la subred interna que necesitamos pasar usando el “Firewall de salida del sitio a sitio” pero creo que eso no es lo mismo que tenerlas definidas.
En el antiguo ASA podíamos definir fácilmente las subredes que enviábamos. ¿Hay alguna forma de hacer esto con el MX250 de Meraki que no estoy viendo?
Desafortunadamente, está definido en la configuración VPN como redes locales. Cualquier red habilitada allí será utilizada. Para hacer esto con Meraki, necesitarías un MX dedicado para conexiones VPN de terceros y luego especificar solo las subredes que deseas en los pares.
Solo para aclarar, esto no es una limitación del MX250, sino que funciona así en todos los dispositivos MX cuando hablan con dispositivos remotos que no son MX.
- Como estás estableciendo esta IPsec en un MX en tu lado, claramente estás utilizando una VPN IPsec basada en política.
- En una VPN basada en política, defines las subredes locales que deseas enviar en el campo “Subredes privadas”. No necesitas listar todos los rangos de red disponibles en tu sitio, sino solo los que deseas poner a disposición del extremo opuesto.
- ¿Tienes clientes de toda tu empresa intentando comunicarse con endpoints del lado remoto de esta VPN? ¿El tráfico es bidireccional o todo de tu lado → lado remoto?
Dado que no tienes un protocolo de enrutamiento establecido con el lado remoto del túnel VPN, no estás anunciando rutas hacia ellos, pero si pones todas tus subredes locales en el campo “Subredes privadas”, estás pidiendo al lado remoto que trate todo ese espacio IP como si te perteneciera. En el caso de subredes superpuestas, esto claramente es insostenible. Normalmente estos problemas se resuelven usando NAT de origen en tu lado del túnel VPN para ocultar tus clientes detrás de un rango de subred que no se superpone con la red remota. Puedes hacer esto con un MX, pero no con el mismo MX que termina el túnel IPsec. Si realmente tienes clientes en un espacio IP que se superpone con la red remota, necesitarás otro MX u otro dispositivo que puedas usar como NAT de origen para tus clientes.
¿Estás especificando la subred(es) privada(s) en las opciones del par VPN no Meraki? Si lo estás haciendo, y aún así estás enviando todas tus otras subredes, entonces recomendaría abrir un caso con Meraki para ver si pueden editar en su lado (probablemente no sea posible).
Desde un punto de vista de seguridad, trabajaría con el proveedor para idear otra opción. Incluso si limites las subredes privadas solo a lo necesario, el hecho de que las subredes se superpongan con otras redes de clientes es una preocupación para ellos, lo que significa que en circunstancias adversas otros clientes podrían acceder a tu red.
¿Por qué no le pides a la otra parte que agregue todas tus subredes? De todas formas estás filtrando el tráfico usando las reglas de firewall de salida de tu VPN. La parte remota también puede hacer lo mismo, y prácticamente todos los proveedores soportan esto.
El OP mencionó que la otra parte ya tiene sus redes para otros clientes.