Entre dispositivos Meraki, incluso hacer VPN's IPSEC sitio a sitio es perfectamente posible entre dos sitios con IP's dinámicas. AutoVPN se encarga de hacer a los MX "converger" y establecer la VPN. Es el mecanismo orquestador, por ponerlo de una forma.

Por otro lado, lo generalmente recomendado en una implementación común de VPN's sitio a sitio, es que en el concentrador de VPN, ubicado generalmente en donde están los servidores o centro de datos, se le asigna una ip estática. Incluso ip estática privada, si el concentrador está detrás de un firewall, haciendo un NAT1:1 versus una homologada. Y todos los sitios remoto tendrían una ip dinámica, para no incurrir en costos extras.

Si es un meraki MX versus un dispositivo NO-meraki, pudieras usar un FQDN para que se resuelva la IP dinámica a la que se estaría apuntando.

Sí, los meraki MX soportan BGP. Lo usan para lograr un failover entre concentradores VPN en centros de datos, para los sitios remotos. Y también se usa BGP para poder darle a conocer al resto de la red las rutas de los sitios remotos que corren AutoVPN. Lo primero que se había soportado para ese propósito fue OSPF.

Veo que solo soporta para las VPN,s S-T-S y Concentrador.

Para conectar directo a un Router CISCO es posible?

El MX soporta VPN site to site y Client VPN. Para VPN site to site, son dos formas de despliegue en el sitio central:

1.- Modo concentrador, donde está dentro del Data center como si fuera una servidor más, protegido por un firewall.

2.- Modo ruteado, o modo firewall que también termina las VPN's de sitio a sitio. Cuando uno quiere que también funja como firewall.

Al MX, teniendo interfases ethernet, le puedes conectar cualquier cosa que tenga ese tipo de interfases, incluyendo ruteadores Cisco. O si hablabas de una conexión lógica, sí, los MX's pueden hacer VPN's estándar IPSEC con otras cajas, como ISR's.

Gracias, me refiero si pueden establecer una vecindad OSPF O BGP un MX con un Router CISCO directamente conectados sin generar una VPN de por medio unicamente Point to Point.

El MX en modo ruteado (NAT mode) aún no soporta BGP:

• eBGP peer relationships are not available for MXs operating as NAT mode VPN concentrators and are only supported on One-Armed Concentrators.

En modo transparente (passthrough, también conocido como modo concentrador), sí pudieras hacer una vecindad BGP con un ISR. Pero está pensado para que las rutas que comunique el MX, sean las rutas que conoce de AutoVPN.

Y respecto OSPF, con el MX en modo ruteado, también debería ser posible el establecimiento de una adyacencia:

Note: MX devices in Routed mode only support OSPF on firmware versions 13.4+, with VLANs disabled.

Sin embargo, igual, sirve solo para que el MX comunique las rutas que conocería por AutoVPN. Y el OSPF en ese caso, es unidireccional en cuanto a que informa las rutas que conoce, pero no aprende.

En resumen, tratar de ver al MX como un ruteador tradicional no es buena idea. Lo suyo es SDWAN y seguridad, y las implementaciones de ruteo están muy especializadas a esos casos de uso. La razón de ser del soporte de protocolos de ruteo en los MX está orientado a dar a conocer rutas que los MX conocen del AutoVPN, paras que el resto de la red sepa cómo llegar a esos sitios remotos.

Hola! Puedes marcarle a soporte para que revisen que esté habilitado la capacidad de definir FQDN. A veces hay cosas no habilitadas por default y que soporte meraki ayuda a habilitar, si es que se necesita.

Hola, para las configuraciones que se pueden habilitar con soporte Meraki hay algún listado?

Tuve un caso similiar con snmpv3 y soporte meraki me habilitó los traps.

Sabes que no, no hay un listado. En la documentación, por ejemplo, esa de traps, se hace mención de contactar a soporte para que se habilite. Por cierto, "traps" de nueva generación son llamados webhooks, que es un esquema más flexible y programáticamente manejable.

La razón principal por la cual algunas cosas son habilitadas por soporte es porque consideramos que no son de uso generalizado, y para no llenar el dashboard de cosas que la mayoría (en nuestra medición de uso de cosas en dashboard) no usa.

Correcto. Esa ruta estática haciendo tracking, en caso de que esté activa, toma precedencia sobre la ruta que se conoce sobre autoVPN. Esa primer liga explica un método de failover que sigue siendo válido, aunque es un predecesor a los que desde hace 3 años meraki hace como SD-WAN, donde la MPLS se conecta a uno de los puertos WAN (en lugar de uno de los puertos LAN), y se puede utilizar concurrentemente con el otro enlace WAN, y uno no configura rutas estáticas para propósito de balanceo o failover.