【隧道篇 / IPsec】(5.6) ❀ 08. DDNS更改IP地址后仍然保持IPsec正常连接 ❀ FortiGate 防火墙

已于 2022-08-01 10:01:23 修改
阅读量3.6k 收藏 5
点赞数 1
分类专栏: # IPsec
于 2020-04-13 17:35:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/105491365
版权

如何在动态DDNS更改IP地址后仍然保持IPsec正常连接?

PPPoE拨号宽带用DDNS连接IPsec,IP地址更改后隧道就会断开,重连无效,有没有解决办法?

  ① PPPoE拨号宽带的IP地址经常会改变,FortiGate防火墙的动态DDNS功能,可以用域名绑定接口IP地址,使得即使IP地址变更,也能远程连接到防火墙。

  ② 为了更清晰的了解整个过程,这里使用两台FortiGate防火墙,分别是100D和90D,分别设置了不同的DDNS。甚至宽带接口也不同,100D使用的是Wan1,90D使用的是Wan2,100D的内网接口是192.168.28.254,90D的内网接口是192.168.18.1。

  ③ 我们可以使用IPsec向导功能,快速的建立100D和90D之间的连接。

  ④ 为了直观的看到两台设备的向导配置,我们将它们的步骤并列显示出来,由于两边都使用的是PPPoE拨号宽带,因此都选择了【启用FortiGuard DDNS】,如果一边有固定宽带,有固定宽带的防火墙选择【启用FortiGuard DDNS】,另一台拨号宽带的防火墙选择【IP地址】。

  ⑤ 用向导建立IPsec后是不会自动连接的,需要选择菜单【监视器】-【IPsec监视器】,选择隧道后点击【启用】下的阶段2。这样IPsec才会发起连接。

  ⑥ 在100D的命令模式下,定义源地址为内网接口192.168.28.254,Ping远程防火墙(90D)的内网接口地址192.168.18.1,可以Ping通,说明IPsec隧道是通的。

  ⑦ 单边通并不能说明隧道是完整的,用同样的方法从90D去Ping 100D的内网接口,这里也是通的。说明隧道双向访问正常。

  ⑧ 现在我们来模拟PPPoE拨号宽带修改IP地址的状况,选择菜单【网络】-【接口】,编辑宽带接口,点击【更新】按钮。

  ⑨ 多点击几次后,我们可以看到IP地址由原来的113.110.151.159,变更成了116.30.216.93。

  ⑩ 查看100D的隧道状态,可以看到是已经断开了。

  ⑾ 90D的隧道状态虽然仍显示连接,但是隧道已经不通了,远程网关仍然是100D变更以前的IP地址。也就是说,虽然有DDNS,但是IP地址变更后,DDNS不能够及时变更。

  ⑿ 为了使得IP地址变更后,隧道仍然可以保持连通,我们需要做出改变。首先在100D上选择菜单【虚拟专网】-【IPsec隧道】,选择隧道后点击【编辑】。

  ⒀ 点击【转换为自定义隧道】,这样就可以对向导生成的隧道进行修改了。

   ⒁ 点击网络右边的【编辑】,在对等体状态探测选择【空闲】,也就是说,当隧道空闲下来没有数据传输后,就会发起探测,使得隧道一直保持连接状态,这个选项很重要,IP变更后,两边的防火墙仍然可以发起连接请求。

    ⒂ 点击认证右边的【编辑】,将模式选择为【野蛮】,访问类型选择【特定对端ID】,对等ID输入90D的ID。100D和90D自身的ID都是自己定义的,下一步就能看到。

    ⒃ 点击阶段1右边的【编辑】,在本地ID处输入100D的ID,这个是自定义的。

    ⒄ 用完全相同的方法修改90D的IPsec隧道,只是网络下的对等ID输入的是100D的ID名称。本地ID输入的是90D自定义的ID。

    ⒅ 除了修改IPsec隧道外,还需在有DDNS的防火墙建立动态网关路由。在100D上选择【网络】-【静态路由】,点击【新建】。

    ⒆ 启动【动态网关】选项,接口选择宽带接口,目的默认为0.0.0.0/0.0.0.0,这样就可以了。这是6.0.9固件版本,早期版本没有动态网关选项,需要用命令来完成设置。

  config router static

   edit 5

    set dst 0.0.0.0 0.0.0.0 

     set dynamic-gateway enable

     set device wan2

   next

  end

    ⒇ 由于90D也是用DDNS,因此也建立了一样的动态网关路由。

    (21) 再次连接IPsec隧道。

    (22) 再次更新100D的宽带IP地址。

    (23) 100D的宽带IP地址由116.30.216.93变更成了113.81.232.223。这个时候IPsec隧道断开了。

    (24) 断开约一分钟后,隧道又重新自动连接了。为什么会这样?这是因为本地ID在起作用,防火墙第一选项为IP检测,第二选项为本地ID检测。当然对等体状态探测选择【空闲】也是很重要的,这样防火墙才能自动发起连接。虽然对等体状态探测选择【空闲】会占用一定的系统资源,但对有变更IP后仍然能连接的需求来说,这点资源占用又不算什么了。

飞塔老梅子
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
DDNS动态域名无固定IPSEC配置实战
悦分享
10-09 384
企业业务环境下,注册公司域名比如www.abc.com注册的地址是1.1.1.1,如果企业接口地址发生了变化,变为了1.1.1.2后注册的www.abc.com无法对应到1.1.1.1IP地址。当访问一个站点,如果站点是固定IP,用户可以直接通过固定IP方式进行访问对应站点,也可以通过域名方式进行访问,无需通过DDNS进行动态注册。在域名购买服务商进行静态绑定。先注册DDNS账户,添加DDNS服务器的信息,一旦出口地址发生了变化,会通知DDNS服务器,更新后的DNS提交给全网的DNS-Server。
AliDDNS-阿里云自动解析脚本(含ipv6公网IP自动解析).zip
10-08
我加入了IPv6自动解析脚本。到手直接用。非常适合家里有群晖NAS但是只有公网IPv6的家庭宽带。绝对是优秀的DDNS方案。 本脚本的工作流程是:对比云端解析记录-> 不存在则添加 -> 存在... ./aliddns.sh [OPTION] <String>
DDNS方式建立Site-to-Site IPSEC ***
weixin_33912453的博客
07-13 244
1.拓扑图:互联网路由器模拟成一台DNS Server,实际环境需要内网一台pc作为DDNS 客户端,开机自动到公网去注册自己的域名。相关链接:http://xrmjjz.blog.51cto.com/blog/3689370/6835382.基本接口配置:参见:http://333234.blog.51cto.com/323234/9122313.静态路由配置:参见:http://333234....
飞塔SSL-VPNFortiClient6.0.5客户端配置
最新发布
Helpdesk相关资料整理
05-16 884
2)设置SSL VPN参数,具体包括连接名称、类型(SSL-VPN)、描述、远程网关(FGT防火墙SSL VPN服务端地址或域名)、自定义端口(根据SSLVPN的设置)、认证(登录时提示)、客户端证书(无)、遇到无效的服务器证书不提示(建议勾选),设置完成后点击“保存”5)SSL VPN连接成功(服务端设置,见前面配置案例章节)页面将显示连接名称、服务器端地址、连接时间、接收字节数、发送字节数等信息。3)点击左侧 远程访问,选择2)中建立的SSL VPN连接,输入用户名、密码,点击连接
【高级 / DNS】(7.0) 04. FortiGuard 动态 DNS (DDNS) FortiGate 防火墙
防火墙技术专栏
05-13 4073
拨号宽带在中小企业中大量存在,由于IP地址经常会变更,使得远程访问比较困难。FortiGuard动态DNS (DDNS) 允许远程管理员使用不变的域名访问FortiGate的面向互联网的接口,即使其IP地址发生变化。
使用DDNS搭建Wireguard服务器的一个小问题
qq_35399330的博客
10-24 2074
一个批处理小脚本实现检测Wireguard中Endpoint地址变化和自动重启Wireguard客户端
【高级 / DNS】(7.0) 05. 用花生壳作 FortiGate 的 DDNS FortiGate 防火墙
防火墙技术专栏
10-14 3235
FortiGate防火墙自带DDNS功能,早期所有防火墙都可以免费使用,但是由于FortiGate防火墙数量越来越多,导致不稳定,现在更是只有FortiOS 6.4版本以上,或购买了UTM服务的设备,才可以正常使用DDNS功能。...
隧道 / IPsec】(7.0) 02. 两端都是ADSL拨号宽带建立IPsec连接 (点对点) FortiGate 防火墙
防火墙技术专栏
04-12 3441
上一文章我们介绍了在两边都有可以远程的公网IP的情况下,用向导快速的建立了IPsec安全隧道。但是如果用的是ADSL拨号宽带,每次连接都会变更IP,那么IPsec肯定会经常断开,有什么好办法解决吗?...
DDNS.rar_3322 ddns_3322.ddns_3322ddns_DDNS visual basic_HNPX888.
09-23
标题中的“DDNS.rar_3322 ddns_3322.ddns_3322ddns_DDNS visual basic_HNPX888”指的是一个关于动态域名解析服务(DDNS)的压缩包文件,特别提到了3322.org这个服务商,并且与Visual Basic编程语言有关。描述中提到...
GNOSIS:示例网站位于https://serck.ddns.net/david/gnosis-开源
05-13
Gnosis是一种LMS设计,可以现代学习。 该应用程序是一个使用Zend Framework 1和mysql作为主要工具的php平台。 部署了四个轴:课程,练习,问题/答案,协作示例网站,网址为https://serck.ddns.net/david/gnosis
changeip的ddns更新客户端【curl实现changeip的ddns动态域名更新功能】
07-15
通过批处理调用curl来进行changeip的ddns更新,解压到本地某路径,简单修改一下帐户和域名信息,点击start.bat直接运行即可。 参数说明: set user=用户名 set password=密码 set domain=你的ddns set url=...
ddns+java+阿里云动态修改DDNS+外网IP
06-24
该源码主要是通过java StringBoot 项目编写的一个动态修改DDNS的工具类,每隔15秒回去网上获取一次外网IP。 使用时在ddns\src\main目录下找到application.yml配置文件然后更改成自己的信息 ddns: aliyun: domain: ...
Fortinet:Fortiguard DDNS &&& Fortiguard 动态域名服务器
Aggy阿吉的博客
04-15 4823
写这个的原因是因为,客户使用ddns连接VPN,过程中出现了失效的问题,导致分点的防火墙web管理和VPN全部不能使用了。 我是从三个方面排查的。 第一,ISP给的地址是否为城域网,百度一下就可以了。可以清楚的看见地址是城域网还是局域网,如果是局域网,那么是不能使用fortiguard ddns的。 第二,fortiguard 订阅是否过期了,这个功能可能是因为fortiguard过期了,但是实际...
请教关于ping一下才可以连接的问题
yhj674438511的博客
04-13 1069
现象是这样的:有三台电脑,A centos7.6 ip:a.b.c.71,B centos7.6 ip:a.b.c.121, C win10 ip:a.b.c.25。此时,若在A的命令行窗口执行pingB的ip,即ping a.b.c.121,ping通了,再执行B中的java程序就能访问到A中的服务并返回结果。在C中通过postman和java程序均可正常调用A中的服务并返回结果;但在B中通过java程序经常访问不到A中的服务;在A部署了自编的一个服务端程序,并发布执行;请问这可能是什么问题?
隧道 / IPsec】(5.2) 04. IPsec - 拨号宽带 to 拨号宽带 (策略模式) FortiGate 防火墙
防火墙技术专栏
09-06 7047
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙防火墙之间建立IPsec可以很好满足要求。ADSL拨号宽带物美价廉,只可惜每次拨号生成的外网IP都不同,两端都是ADSL拨号宽带要建立点对点连接,就要借助动态域名了。...
飞塔防火墙策略设置
Fisher_start的博客
09-07 5248
飞塔防火墙策略设置
FortiGate为多ADSL接口创建多个对应指定的DDNS动态域名
叫我小火柴
02-10 1197
本文介绍了如何在FortiGate中为多个拨号接口创建多个对应的DDNS动态域名。
【管理 / 登录】 04. 远程连接登录 FortiGate 防火墙
热门推荐
防火墙技术专栏
11-08 1万+
防火墙一般都是安装在机房,在网络内部可以根据 IP 地址访问防火墙,当我们在家里或出差在外时需要访问防火墙时,就需要用到远程登录了。
飞塔(FortiGate)配置IPSec
沉默的鹏先生
12-23 9588
1、配置IPSec 1.1、进入VPN > IPsecWizard,选择custom。输入IPSec名称。点击Next,进行下一步配置。 1.2、填写Remote Gateway IP,选择Interface,以及pre-shared key 1.3、配置Phase1 proposal的Encryption和Authentication,选择Diffie-Hellman Group...
华为防火墙USG6000如何设置DDNS
09-09
### 回答1: 华为USG6000防火墙支持DDNS功能,可以配置为域名映射或动态DNS。要设置DDNS,可以通过以下步骤进行:1、进入DDNS页面,点击“新建”;2、填写服务器地址,用户名,密码;3、填写域名;4、点击“确定”。 ### 回答2: 华为防火墙USG6000是一款优秀的网络安全设备,可以通过设置DDNS来实现动态域名解析,下面是如何设置DDNS的步骤: 1. 首先,登录到USG6000的web管理界面。 2. 在管理界面中,点击左侧导航栏中的“网络管理”。 3. 在网络管理页面中,找到“DDNS”设置选项,并点击进入。 4. 在DDNS设置界面中,首先选择一个DDNS服务提供商,比如“DynDNS”。 5. 接下来,填写相关的DDNS账号信息,包括账号名称、账号密码以及要更新的域名。 6. 在设置界面中,可以选择是否启用DDNS功能,以及设置更新时间间隔。 7. 填写完相关信息后,点击“应用”按钮,保存设置。 8. 设置完成后,可以通过点击“状态”标签页,查看DDNS的状态,是否已成功更新。 需要注意的是,在设置DDNS之前,确保USG6000已经连接到可联网的网络中,并且已经获得了有效的IP地址。 设置DDNS后,USG6000会自动将动态IP地址与域名进行绑定,当动态IP地址发生变化时,DDNS服务会自动将最新的IP地址更新到指定的域名上,从而实现域名的动态解析。 通过以上步骤,您可以轻松地在华为防火墙USG6000上设置DDNS功能。如有问题,建议参考华为官方文档或咨询华为技术支持团队。 ### 回答3: 华为防火墙USG6000可以通过以下步骤设置DDNS: 1. 登录到防火墙的Web界面。在浏览器地址栏中输入防火墙IP地址,并输入管理员账号和密码登录。 2. 在导航栏中找到“网络”选项,并点击“DDNS”子选项。 3. 在DDNS页面中,点击“新建”按钮。 4. 在弹出的“新建DDNS”对话框中,填写以下信息: - DDNS名称:填写一个有意义的名称来标识这个DDNS设置。 - DDNS服务器:选择所使用的DDNS服务器。根据需要选择合适的DDNS服务提供商。 - Hostname/域名:填写您注册DDNS服务时获得的域名。例如,example.ddnsprovider.com。 - 使用接口IP:选择防火墙上的一个接口IP地址作为DDNS的工作IP地址。 5. 点击“确定”按钮保存设置。 6. 返回DDNS页面,点击“应用”按钮使配置生效。 完成上述步骤后,华为防火墙USG6000将会定期向DDNS服务器发送请求,将防火墙当前的公网IP地址更新到DDNS服务器绑定的域名上。这样,您就可以通过使用域名来访问防火墙,而不必担心公网IP地址的变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值