MERAKI CLIENT VPN FIREWALL DE TERCEROS / MCM

Cuando se tiene un UTM Meraki y está configurado como passtrough se tiene que depender del ruteo por parte de un firewall el cual es normalmente del ISP.

El segmento de VPN creado por el UTM de Meraki NO debe de ser el mismo segmento del DHCP Server, entonces si el segmento del cliente es 10.0.10.0 y 10.0.9.0 el segmento de VPN creado por Meraki debería de ser 10.0.8.0/24.

En ocasiones el firewall restringe el retorno de paquetes y es ahí cuando se debe de hacer esta solución.

Entonces si la VPN si alcanza a conectar el equipo cliente al MX y se puede ver los dispositivos de la LAN pero NO sale a internet se deberá de ver en primer lugar las políticas de navegación del MX y determinar si el bloqueo no es por un tema del traffic shaping o firewall del UTM, si NO hubiera ninguna restricción entonces se le deberá de pedir al ISP el siguiente cambio en el firewall.

  1. 1.- Se deberá de explicar toda la ruta, es decir, que tipo de VPN es (VPN Cliente), luego este equipo a que ip pública apunta, posteriormente la ip pública a que ip de LAN está apuntando (Normalmente es el MX), posteriormente el tráfico va del equipo de cómputo cliente al MX y de ahí sale al firewall.
  2. 2.- Antes de avisar al ISP es necesario levantar a Meraki un caso para que se pueda hacer un análisis de paquetes para ver si el equipo cliente envía paquetes a la puerta de enlace designada en la red, por lo general se puede confirmar que los paquetes de datos como por ejemplo un “PING” va del equipo cliente al firewall o puerta de enlace a través del MX pero NO hay paquetes de vuelta hacia el equipo cliente. Con esto podemos pasar al paso 3.
  3. 3.- Pedir al ISP que en el firewall se haga un ruteo estático en el SW o firewall para alcanzar el segmento que está levantado para la VPN a través del MX, es decir, en el ejemplo sería la 10.0.8.0/24 a la IP interna de Lan del MX, imaginemos que en el ejemplo la IP del MX es 10.0.10.4.

Es decir ip route-static 10.0.8.0 255.255.255.0 10.0.10.4

Con ello se debería de solucionar el problema