Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5508 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mobile Device managers

OldSchool
I am implementing the Meraki MDM for my Ipads. 
These are the ports I have opened..  and the hosts that I need to have connect too.. Systems Manager

Clients using Meraki Systems Manager initiate outbound management connections to the Meraki cloud using the following addresses and ports:

Mac/Windows

64.156.192.220, 64.156.192.221, 74.50.63.14, 74.50.63.8, *.amazon.com - TCP ports 80, 443, 993, 60000-61000 iOS

64.156.192.220, 74.50.63.14, 50.18.152.159 - TCP port 443
* - TCP ports 2195, 2196, 5223

Android

64.156.192.220, 74.50.63.14 - TCP port 443
* - TCP port 5228


Heres the problem.. I can get the iPad (from internal network) to phone home, enroll itself in the MDM, but the MDM cannot access the iPad (on the internal network) once it is enrolled. 

I have looked at the firewall log.. can cannot see anything being denied from the inside to the outside, and nothing denied on those ports to the inside. 

any ideas would help.. 

thanks


This thread was automatically locked due to age.
  • 0
    Hi, also check the IPS log, and the http proxy (web security) log.

    Barry
  • 0
    turns out that the Meraki gave gave some mis information they dont use the *.amazon.com addresses.. they use the *.amazonaws.com domains..  my question is.. how do I allow those FQDN through the UTM? Or do i have to find the IP's and allow that range through?
    When I use the @.amazonaws.com they show up as "unresolved" in the network definitions. 
    any Ideas how I can get this to work?
  • 0
    the MDM cannot access the iPad (on the internal network) once it is enrolled.

    Assuming the internal network uses a private IP range, the MDM has to wait for the devices to connect with it.  You don't need to open anything inbound for Meraki; those ports need to be open outbound at least for the IPs and networks described.

    Since port 80 is involved, if you are using Web Filtering in Transparent mode, you may need to do some configuring there.

    You can't use wildcards in DNS Group definitions as DNS can't respond to, "What are all of the IPs in use by all FQDNs in the amazonaws.com domain?"  The good news is that you'll only need the domain name if you have to make a configuration change in Web Filtering.

    Cheers - Bob
  • 0
    I have found that they use akaimatechnology servers to push out updates to the iPads over port 80.. How can i allow port  80 traffic past the proxy? do I just allow the URLS i need as un filtered traffic the the filtering area?
  • 0
    In the public network, it might possible for an Akamai server to initiate the connection, but when they're on your private network, the iPads must connect to Akamai.  This is a limitation of IPv4.  The technology must be similar to that used in Sophos Endpoint Protection - the device calls the service and checks to see if there are any updates for it, and the service sends them on the connection established by the device.

    The UTM is a stateful firewall, so you only need to allow the outbound traffic.  The connection tracker will take care of allowing the response traffic from the service.

    Cheers - Bob
  • 0
    So.. just an update.. they use one IP address to "push" from the cloud to through my UTM 425 my ipads. 
    I have opened that 443 port to their IP address, I can ping it, see that port 443 is open to get out to it, but it wont return information to my ipads. i have allowed that IP in ever conceivable way (except the right one obviously) and still no luck.. any ideas? 
    am running in transparent mode, have allowed that IP to bypass all filters on port 80 and 443..
  • 0
    I have had the same problem for about 1 week now and I FINALLY found the root cause of all evil: One has to allow the Amazon Web Services for the according VLAN in the Application Control settings!

    It's not enough to just create exceptions for the according amazonaws.com servers (if you are using Application control in whatever way, too). The hint for these servers by the way came up when pinging ios.meraki.com.

    Holy Moly!

    PS: Thanks for this thread!