Starlink en WAN3 sur un firewall Meraki MX : Guide complet

par

Introduction

Dans un contexte où la connectivité Internet est essentielle pour les entreprises, assurer une redondance réseau devient une priorité.

L’ajout d’une connexion WAN3 via Starlink sur un firewall Meraki MX permet d’améliorer la résilience du réseau en cas de coupure des liens principaux.

Cet article partage un retour d’expérience sur l’intégration de Starlink en tant que lien WAN3 sur un Meraki MX, étape par étape.

Prérequis

  • Un firewall Meraki MX compatible avec trois liens WAN (ex : MX85/95/105).
  • Un abonnement Starlink actif avec le routeur Starlink ou un adaptateur Ethernet.
  • Accès au dashboard Meraki pour configurer l’interface WAN.

Schéma d’architecture

Dans le cadre de cet article, j’ai utilisé une antenne « Mobile High Performance » et le Power Injector directement, avec un abonnement Entreprise.

Lors de ce test, j’ai utilisé des MX95 en version 18.211.2, qui disposent déjà de deux liens fibre configurés en tant que WAN1 et WAN2.

Attention, cette fonction est disponible sur certains modèles de MX uniquement (MX85/95/105).

Schéma – Starlink WAN3 sur Meraki MX95

Limitations

Meraki limite la gestion de WAN3 et, contrairement aux lignes WAN1 et WAN2, vous ne pouvez pas utiliser les fonctionnalités suivantes :

  • Load Balancing : la ligne n’est active qu’en cas de perte complète des accès WAN1 et WAN2 (ici, les deux fibres desservant le bâtiment) : il est impossible de définir cet accès en tant que lien principal.
  • Traffic Shaping et règles avancées de QoS
  • Pas de règles de routage personnalisées pour forcer certains flux sur WAN3 (tout le trafic y passe en cas de panne de WAN1/WAN2).

Il s’agit donc d’un backup de dernier recours en cas de perte complète des deux premiers liens.

Si vous souhaitez utiliser la ligne Starlink en tant que lien principal, il sera nécéssaire de la configurer en tant que lien WAN1 ou WAN2.

Les autres outils (Ping, traceroute, monitoring dans « Uplink ») sont quant à eux disponibles.

Scénarios de bascule

Le MX réalise trois tests principaux pour qualifier l’état de chaque lien WAN et déclencher, ou non, la bascule sur le lien suivant.

La bascule sur WAN3 se fait en suivant les critères par défaut décrits dans la documentation Meraki.

En cas de perte des liens physiques (câble débranché, routeurs WAN1 ou WAN2 éteints), la bascule se fait immédiatement.

1. Test DNS – Toutes les 150 secondes

Ce test consiste en une requête DNS vers les hostnames suivants : meraki.com / google.com / yahoo.com.

  • Si le test réussit, le DNS est marqué comme opérationnel pendant 300 secondes.
  • Si un test échoue, l’intervalle de test est réduit à 30 secondes.
  • Si aucun test ne réussit pendant 300 secondes, le DNS est marqué comme hors service (failed).

2. Test Internet (ICMP + HTTP) – Toutes les 150 secondes

Ce test comporte deux parties afin de valider la connectivité Internet :

  1. Un ping par seconde vers 209.206.55.10 (Meraki) et 8.8.8.8 (Google).
  2. Un HTTP GET vers http://meraki.com ou http://canireachthe.net
  • Si le test réussit, le lien Internet est considéré comme fonctionnel pour 300 secondes.
  • Si un test échoue une fois, l’intervalle de test est réduit à 20 secondes.
  • Si aucun test ne réussit pendant 300 secondes, l’interface WAN est marquée comme hors service (failed).

3. Test ARP – Toutes les 120 secondes

Le MX envoie des requêtes ARP vers ses passerelles WAN (les routeurs opérateurs) ainsi que vers sa propre IP, afin de détecter un éventuel conflit d’adresse IP.

  • Si le test réussit, l’ARP est marqué comme opérationnel pour 120 secondes.
  • Si un test échoue, l’intervalle de test est réduit à 30 secondes.
  • Si le prochain test échoue également, l’interface WAN est marquée comme hors service (failed).

Si les trois tests échouent, le MX effectue la bascule et ajoute un événement dans l’Event Log.

Bascule entre les liens dans l’Event Log Meraki

1. Préparer la connexion Starlink

Par défaut, Starlink fournit un routeur Wi-Fi, cependant afin de simplifier au maximum la gestion et limiter le nombre d’équipements intermédiaires, nous utilisons directement un câble ethernet relié au Power Injector (voir schéma ci-dessus).

  1. Poser l’antenne Starlink sur une zone dégagée (l’application Starlink permet de valider l’emplacement) et la raccorder au Power Injector.
  2. Brancher l’adaptateur Ethernet sur le Power Injector Starlink.
  3. Connectez le câble Ethernet directement sur le port WAN3 (ou un switch si besoin) du Meraki MX principal, ou réaliser une interconnexion via un VLAN dédié sur les switchs.
Antenne Starlink Mobile High Performance
Antenne posée sur le toit d’un entrepôt

2. Configurer WAN3 sur le Meraki MX

Une fois Starlink connecté physiquement, il faut configurer son utilisation sur le Meraki MX :

  1. Connectez-vous au Meraki Dashboard.
  2. Allez dans Security & SD-WAN > Appliance Status.
  3. Sous Uplink Configuration, assurez-vous que vous avez activé WAN3 (attention : le MX redémarrera pour appliquer la modification).
  4. Configurez WAN3 en mode DHCP (Starlink attribue automatiquement une IP publique par DHCP).
  5. Enregistrez et appliquez les modifications.
Le lien WAN3 passe en statut Active si la configuration est correcte

3. Tester la connexion

Après configuration, vérifiez que tout fonctionne correctement :

  • Via l’onglet « Uplink », vérifiez l’historique de pertes de paquets et de latence.
  • L’onglet « Tools » permet de lancer un traceroute ou ping vers une destination de votre choix en sélectionnant « Internet 3 »
  • Simulez une panne des WAN principaux pour valider le basculement automatique.
    • Dans l’idéal, testez à la fois une coupure complète des routeurs WAN1/WAN2 et une perte de service simulée en débranchant simplement la fibre tout en laissant les routeurs allumés.
Traceroute via le lien WAN3
Le lien WAN3 en rose est le lien Starlink

Performances

Les performances du lien Starlink sont variables et non garanties, car de nombreux paramètres entrent en jeu :

  • Les utilisateurs du service se partagent la bande passante (mutualisation).
  • La visibilité du ciel doit être optimale : penser à bien vérifier l’absence d’obstructions (arbres, poteaux) lors de l’installation de l’antenne.
  • Les conditions météo peuvent également impacter la stabilité et les performances, bien que les antennes de type « high performance » y sont moins sensibles.

À titre d’exemple, j’ai mesuré sur le lien décrit dans ce site (Nord de la France) les performances suivantes :

  • Latence : entre 25 et 35 ms
  • Débit descendant : >200 Mbps
  • Débit montant : entre 20 et 30 Mbps

Globalement et sur plus de 6 mois, le lien est resté stable y compris lors d’intempéries (pluie,neige).

Spécificités Starlink et observations

  • L’utilisation de l’adaptateur Ethernet Starlink ne permet de disposer que d’une IP, dans le cadre d’un cluster de MX, un seul boitier disposera du lien supplémentaire.
    • Il est possible de contourner cette limitation par l’ajout d’un routeur en amont ou en utilisant le routeur Starlink en complément du Power Injector.
    • Dans ce cas, vous devez tester le bon fonctionnement de vos services (notamment VPN) avec le double NAT introduit par ce routeur intermédiaire.
  • L’IP publique « fixe » (dans le cadre de l’offre Entreprise) peut changer lors du redémarrage du routeur ou de reconfigurations par Starlink.
  • La MTU par défaut est de 1500 : je n’ai pas eu à effectuer de configuration spécifique sur ces paramètres afin de faire fonctionner les tunnels Meraki et non-Meraki (IPsec).

Conclusion

L’intégration de Starlink en WAN3 sur un Meraki MX est une solution efficace pour améliorer la continuité d’activité et assurer une connexion Internet résiliante sans dépendre de liens physiques qui peuvent subir des coupures sur leur parcours.

En suivant ces étapes, vous garantissez une mise en place optimale et une meilleure disponibilité de votre réseau.

Avez-vous déjà testé Starlink ou avez-vous des remarques à faire sur cet article ? Partagez vos commentaires ci-dessous !

Sources

Meraki and Starlink Deployment Guide

Meraki – Connection monitoring for WAN failover

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.