【简介】拨号宽带在中小企业中大量存在,由于IP地址经常会变更,使得远程访问比较困难。FortiGuard动态DNS (DDNS) 允许远程管理员使用不变的域名访问FortiGate的面向互联网的接口,即使其IP地址发生变化。
可远程访问的公网IP
拨号宽带很常见,但是并不是所有拨号宽带都可以远程访问。
① 拨号宽带每次拨号后,都会自动生成不同的IP地址。当多次点击【更新】后,IP地址有可能就改变了。
② 如果要远程访问防火墙,建议将宽带接口管理访问下的https和ping启用。
③ 从互联网的任何位置,例如家中,能Ping通这个IP地址,可以确认这个IP可以远程访问。
④ 防火墙登录使用HTTPS协议,默认端口为443,但是通常运营商会禁用这个端口,因此我们需要修改HTTPS端口号,例如将443改为8443。
⑤ 在任何地方,例如家里或分公司,都可以直接用IP地址加端口号的方式远程访问防火墙了。
⑥ 并不是所有拨号宽带生成的IP都是可以远程访问的。象这个移动拨号,生成的172.47网段,还有电信拨号,会生成100.64网段,这些都不是真正的公网IP。
⑦ 这是因为上网人数太多,公网地址不够用,于是运营商拨号得到内网IP,再经某个公网IP上网。象这种情况,就没有办法远程访问防火墙了。解决方法就是打电话给运营商,要求提供可远程的公网IP。一般都会给的。
DDNS
拨号宽带得到的IP经常会变更,那么要远程访问,就要用到DDNS功能。
① 选择菜单【网络】-【DNS】,启用【FortiGuard DDNS】,接口选择拨号宽带接口,选择服务器,输入一个没有用过的名称,下面就显示出完整的域名,并和接口IP进行绑定了。
② 通过域名加端口号,我们可以正常的登录防火墙。
③ 在任何需要IP地址的地方,我们都可以用域名替代。即使IP发生了变化,也不会有影响。
④ 只能是fortiddns.com一个后缀吗?不是的,还有fortidyndns.com和float-zone.com可以使用,建议使用后两个,因为fortiddns.com用得人多。能自定后缀吗?当然不能,想啥呢。
⑤ FortiOS 7.0版本,可以同时配置多个接口使用DDNS。但是不能配置多个域名,需要在命令下才能实现。DDNS功能收费吗?早期所有FortiGate防火墙都可以免费使用DDNS功能,但是由于用户数量太大,现在据说设备在服务器期内,或者固件版本在FortiGate 6.4及以上,可以使用DDNS。
CLI命令
DDNS的配置很简单,有些功能需要在CLI命令下才能实现。
① config system ddns命令进入ddns配置,show命令查看当前ddns设置,可以看到port1接口定义的域名是oldmei-601e.fortiddns.com。ddns服务器为FortiGuardDDNS。
② 再新建一个DDNS。
③ 在CLI命令行下,就可分别给两个宽带口定义不同的域名了。前提是两个接口的IP都可以远程。
④ 当使用未分配给FortiGate的公网IP时,当IP地址发生变化时,FortiGate无法触发更新。通过定期检查DDNS服务器,可以配置FortiGate刷新DDNS IP地址。当update-interval设置为0时,对于FortiGuard DDNS,间隔时间为300秒。对于第三方DDNS服务器,时间间隔由DDNS服务器分配。如果宽带IP地址变更频繁,可缩短刷新时间。
⑤ 可以使用diagnose test application ddnscd 3命令查看DDNS的状态。
扫一扫
761
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
