如何在動態DDNS更改IP地址後仍然保持IPsec正常連接?
PPPoE撥號寬帶用DDNS連接IPsec,IP地址更改後隧道就會斷開,重連無效,有沒有解決辦法?
① PPPoE撥號寬帶的IP地址經常會改變,FortiGate防火牆的動態DDNS功能,可以用域名綁定接口IP地址,使得即使IP地址變更,也能遠程連接到防火牆。
② 爲了更清晰的瞭解整個過程,這裏使用兩臺FortiGate防火牆,分別是100D和90D,分別設置了不同的DDNS。甚至寬帶接口也不同,100D使用的是Wan1,90D使用的是Wan2,100D的內網接口是192.168.28.254,90D的內網接口是192.168.18.1。
③ 我們可以使用IPsec嚮導功能,快速的建立100D和90D之間的連接。
④ 爲了直觀的看到兩臺設備的嚮導配置,我們將它們的步驟並列顯示出來,由於兩邊都使用的是PPPoE撥號寬帶,因此都選擇了【啓用FortiGuard DDNS】,如果一邊有固定寬帶,有固定寬帶的防火牆選擇【啓用FortiGuard DDNS】,另一臺撥號寬帶的防火牆選擇【IP地址】。
⑤ 用嚮導建立IPsec後是不會自動連接的,需要選擇菜單【監視器】-【IPsec監視器】,選擇隧道後點擊【啓用】下的階段2。這樣IPsec纔會發起連接。
⑥ 在100D的命令模式下,定義源地址爲內網接口192.168.28.254,Ping遠程防火牆(90D)的內網接口地址192.168.18.1,可以Ping通,說明IPsec隧道是通的。
⑦ 單邊通並不能說明隧道是完整的,用同樣的方法從90D去Ping 100D的內網接口,這裏也是通的。說明隧道雙向訪問正常。
⑧ 現在我們來模擬PPPoE撥號寬帶修改IP地址的狀況,選擇菜單【網絡】-【接口】,編輯寬帶接口,點擊【更新】按鈕。
⑨ 多點擊幾次後,我們可以看到IP地址由原來的113.110.151.159,變更成了116.30.216.93。
⑩ 查看100D的隧道狀態,可以看到是已經斷開了。
⑾ 90D的隧道狀態雖然仍顯示連接,但是隧道已經不通了,遠程網關仍然是100D變更以前的IP地址。也就是說,雖然有DDNS,但是IP地址變更後,DDNS不能夠及時變更。
⑿ 爲了使得IP地址變更後,隧道仍然可以保持連通,我們需要做出改變。首先在100D上選擇菜單【虛擬專網】-【IPsec隧道】,選擇隧道後點擊【編輯】。
⒀ 點擊【轉換爲自定義隧道】,這樣就可以對嚮導生成的隧道進行修改了。
⒁ 點擊網絡右邊的【編輯】,在對等體狀態探測選擇【空閒】,也就是說,當隧道空閒下來沒有數據傳輸後,就會發起探測,使得隧道一直保持連接狀態,這個選項很重要,IP變更後,兩邊的防火牆仍然可以發起連接請求。
⒂ 點擊認證右邊的【編輯】,將模式選擇爲【野蠻】,訪問類型選擇【特定對端ID】,對等ID輸入90D的ID。100D和90D自身的ID都是自己定義的,下一步就能看到。
⒃ 點擊階段1右邊的【編輯】,在本地ID處輸入100D的ID,這個是自定義的。
⒄ 用完全相同的方法修改90D的IPsec隧道,只是網絡下的對等ID輸入的是100D的ID名稱。本地ID輸入的是90D自定義的ID。
⒅ 除了修改IPsec隧道外,還需在有DDNS的防火牆建立動態網關路由。在100D上選擇【網絡】-【靜態路由】,點擊【新建】。
⒆ 啓動【動態網關】選項,接口選擇寬帶接口,目的默認爲0.0.0.0/0.0.0.0,這樣就可以了。這是6.0.9固件版本,早期版本沒有動態網關選項,需要用命令來完成設置。
config router static
edit 5
set dst 0.0.0.0 0.0.0.0
set dynamic-gateway enable
set device wan2
next
end
⒇ 由於90D也是用DDNS,因此也建立了一樣的動態網關路由。
(21) 再次連接IPsec隧道。
(22) 再次更新100D的寬帶IP地址。
(23) 100D的寬帶IP地址由116.30.216.93變更成了113.81.232.223。這個時候IPsec隧道斷開了。
(24) 斷開約一分鐘後,隧道又重新自動連接了。爲什麼會這樣?這是因爲本地ID在起作用,防火牆第一選項爲IP檢測,第二選項爲本地ID檢測。當然對等體狀態探測選擇【空閒】也是很重要的,這樣防火牆才能自動發起連接。雖然對等體狀態探測選擇【空閒】會佔用一定的系統資源,但對有變更IP後仍然能連接的需求來說,這點資源佔用又不算什麼了。
