DNS篇(7.0) 04. FortiGuard动态DNS (DDNS) ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-05-18 飞塔老梅子

　　【简介】拨号宽带在中小企业中大量存在，由于IP地址经常会变更，使得远程访问比较困难。FortiGuard动态DNS (DDNS) 允许远程管理员使用不变的域名访问FortiGate的面向互联网的接口，即使其IP地址发生变化。

---

  可远程访问的公网IP

　　拨号宽带很常见，但是并不是所有拨号宽带都可以远程访问。

　　① 拨号宽带每次拨号后，都会自动生成不同的IP地址。当多次点击【更新】后，IP地址有可能就改变了。

　　② 如果要远程访问防火墙，建议将宽带接口管理访问下的https和ping启用。

　　③ 从互联网的任何位置，例如家中，能Ping通这个IP地址，可以确认这个IP可以远程访问。

　　④ 防火墙登录使用HTTPS协议，默认端口为443，但是通常运营商会禁用这个端口，因此我们需要修改HTTPS端口号，例如将443改为8443。

　　⑤ 在任何地方，例如家里或分公司，都可以直接用IP地址加端口号的方式远程访问防火墙了。

　　⑥ 并不是所有拨号宽带生成的IP都是可以远程访问的。象这个移动拨号，生成的172.47网段，还有电信拨号，会生成100.64网段，这些都不是真正的公网IP。

　　⑦ 这是因为上网人数太多，公网地址不够用，于是运营商拨号得到内网IP，再经某个公网IP上网。象这种情况，就没有办法远程访问防火墙了。解决方法就是打电话给运营商，要求提供可远程的公网IP。一般都会给的。

  DDNS

　　拨号宽带得到的IP经常会变更，那么要远程访问，就要用到DDNS功能。

　　① 选择菜单【网络】-【DNS】，启用【FortiGuard DDNS】，接口选择拨号宽带接口，选择服务器，输入一个没有用过的名称，下面就显示出完整的域名，并和接口IP进行绑定了。

　　② 通过域名加端口号，我们可以正常的登录防火墙。

　　③ 在任何需要IP地址的地方，我们都可以用域名替代。即使IP发生了变化，也不会有影响。

　　④ 只能是fortiddns.com一个后缀吗？不是的，还有fortidyndns.com和float-zone.com可以使用，建议使用后两个，因为fortiddns.com用得人多。能自定后缀吗？当然不能，想啥呢。

　　⑤ Fortios 7.0版本，可以同时配置多个接口使用DDNS。但是不能配置多个域名，需要在命令下才能实现。DDNS功能收费吗？早期所有FortiGate防火墙都可以免费使用DDNS功能，但是由于用户数量太大，现在据说设备在服务器期内，或者固件版本在FortiGate 6.4及以上，可以使用DDNS。

  CLI命令

　　DDNS的配置很简单，有些功能需要在CLI命令下才能实现。

　　① config system ddns命令进入ddns配置，show命令查看当前ddns设置，可以看到port1接口定义的域名是oldmei-601e.fortiddns.com。ddns服务器为FortiGuardDDNS。

　　② 再新建一个DDNS。

　　③ 在CLI命令行下，就可分别给两个宽带口定义不同的域名了。前提是两个接口的IP都可以远程。

　　④ 当使用未分配给FortiGate的公网IP时，当IP地址发生变化时，FortiGate无法触发更新。通过定期检查DDNS服务器，可以配置FortiGate刷新DDNS IP地址。当update-interval设置为0时，对于FortiGuard DDNS，间隔时间为300秒。对于第三方DDNS服务器，时间间隔由DDNS服务器分配。如果宽带IP地址变更频繁，可缩短刷新时间。

　　⑤ 可以使用diagnose test application ddnscd 3命令查看DDNS的状态。

---

创作打卡挑战赛 赢取流量/现金/CSDN周边激励大奖