Desejo configurar várias infraestruturas no MS Azure que estarão disponíveis para vários locais equipados com Cisco Meraki MX Security Appliances. Infelizmente, os MXs ainda não oferecem suporte a VPNs baseadas em rota, e o Azure oferece suporte apenas a várias redes site a site ao usar VPN baseada em rota. Acho que podem existir desafios semelhantes com a AWS e outros provedores de serviços em nuvem.
Acho que posso contornar essa limitação usando um firewall virtual, como o Cisco ASAv, mas não consegui encontrar nenhuma documentação ou material de marketing que deixe claro que isso é adequado. Sei que já fiz VPN hub/spoke com ASAs físicos no passado, mas não tenho experiência com ASAv.
Alguém tem alguma experiência em hub de provedor de nuvem com ASAv (ou qualquer outro firewall virtual) e fala de filial usando firewalls que não suportam IKEv2 ou VPNs baseadas em rota, como Meraki MX, Cisco ASA etc?
Conforme mencionado acima, conseguimos fazer isso ativando um Cisco CSR no Azure. Temos 50 MX60W e alguns MX100, todos conectados ao CSR do Azure, que permite uma conexão direta com nossos servidores virtuais do Azure.
Claro que a melhor solução seria criar um MX virtual no Azure. Nosso representante de vendas da Meraki continua prometendo que isso está chegando, mas ainda não há notícias. Ele mencionou recentemente que eles estão em beta com um MX virtual na AWS. Com todo o foco na configuração de ambientes de hospedagem baseados em nuvem (ou seja, Azure, AWS), acho que a Meraki está perdendo quantas empresas desejam conectar todos os seus locais perfeitamente.
Você precisará de um IP estático no CSR, mas pode usar os nomes DNS dinâmicos da Meraki. A Meraki VPN é configurada na seção VPN de toda a organização e distribuída para os MXs com base em tags. A Fase 1 e 2 e a chave pré-compartilhada devem corresponder exatamente em ambos os lados.
Fase 1: Criptografia AES256, Autenticação SHA1, DH grupo 5, Lifetime 28800
Fase 2: Criptografia AES256, Autenticação SHA1, PFS desligado, Lifetime 28800
Linhas de exemplo de CSR: