如何在动态DDNS更改IP地址后仍然保持IPsec正常连接?
PPPoE拨号宽带用DDNS连接IPsec,IP地址更改后隧道就会断开,重连无效,有没有解决办法?
① PPPoE拨号宽带的IP地址经常会改变,FortiGate防火墙的动态DDNS功能,可以用域名绑定接口IP地址,使得即使IP地址变更,也能远程连接到防火墙。
② 为了更清晰的了解整个过程,这里使用两台FortiGate防火墙,分别是100D和90D,分别设置了不同的DDNS。甚至宽带接口也不同,100D使用的是Wan1,90D使用的是Wan2,100D的内网接口是192.168.28.254,90D的内网接口是192.168.18.1。
③ 我们可以使用IPsec向导功能,快速的建立100D和90D之间的连接。
④ 为了直观的看到两台设备的向导配置,我们将它们的步骤并列显示出来,由于两边都使用的是PPPoE拨号宽带,因此都选择了【启用FortiGuard DDNS】,如果一边有固定宽带,有固定宽带的防火墙选择【启用FortiGuard DDNS】,另一台拨号宽带的防火墙选择【IP地址】。
⑤ 用向导建立IPsec后是不会自动连接的,需要选择菜单【监视器】-【IPsec监视器】,选择隧道后点击【启用】下的阶段2。这样IPsec才会发起连接。
⑥ 在100D的命令模式下,定义源地址为内网接口192.168.28.254,Ping远程防火墙(90D)的内网接口地址192.168.18.1,可以Ping通,说明IPsec隧道是通的。
⑦ 单边通并不能说明隧道是完整的,用同样的方法从90D去Ping 100D的内网接口,这里也是通的。说明隧道双向访问正常。
⑧ 现在我们来模拟PPPoE拨号宽带修改IP地址的状况,选择菜单【网络】-【接口】,编辑宽带接口,点击【更新】按钮。
⑨ 多点击几次后,我们可以看到IP地址由原来的113.110.151.159,变更成了116.30.216.93。
⑩ 查看100D的隧道状态,可以看到是已经断开了。
⑾ 90D的隧道状态虽然仍显示连接,但是隧道已经不通了,远程网关仍然是100D变更以前的IP地址。也就是说,虽然有DDNS,但是IP地址变更后,DDNS不能够及时变更。
⑿ 为了使得IP地址变更后,隧道仍然可以保持连通,我们需要做出改变。首先在100D上选择菜单【虚拟专网】-【IPsec隧道】,选择隧道后点击【编辑】。
⒀ 点击【转换为自定义隧道】,这样就可以对向导生成的隧道进行修改了。
⒁ 点击网络右边的【编辑】,在对等体状态探测选择【空闲】,也就是说,当隧道空闲下来没有数据传输后,就会发起探测,使得隧道一直保持连接状态,这个选项很重要,IP变更后,两边的防火墙仍然可以发起连接请求。
⒂ 点击认证右边的【编辑】,将模式选择为【野蛮】,访问类型选择【特定对端ID】,对等ID输入90D的ID。100D和90D自身的ID都是自己定义的,下一步就能看到。
⒃ 点击阶段1右边的【编辑】,在本地ID处输入100D的ID,这个是自定义的。
⒄ 用完全相同的方法修改90D的IPsec隧道,只是网络下的对等ID输入的是100D的ID名称。本地ID输入的是90D自定义的ID。
⒅ 除了修改IPsec隧道外,还需在有DDNS的防火墙建立动态网关路由。在100D上选择【网络】-【静态路由】,点击【新建】。
⒆ 启动【动态网关】选项,接口选择宽带接口,目的默认为0.0.0.0/0.0.0.0,这样就可以了。这是6.0.9固件版本,早期版本没有动态网关选项,需要用命令来完成设置。
config router static
edit 5
set dst 0.0.0.0 0.0.0.0
set dynamic-gateway enable
set device wan2
next
end
⒇ 由于90D也是用DDNS,因此也建立了一样的动态网关路由。
(21) 再次连接IPsec隧道。
(22) 再次更新100D的宽带IP地址。
(23) 100D的宽带IP地址由116.30.216.93变更成了113.81.232.223。这个时候IPsec隧道断开了。
(24) 断开约一分钟后,隧道又重新自动连接了。为什么会这样?这是因为本地ID在起作用,防火墙第一选项为IP检测,第二选项为本地ID检测。当然对等体状态探测选择【空闲】也是很重要的,这样防火墙才能自动发起连接。虽然对等体状态探测选择【空闲】会占用一定的系统资源,但对有变更IP后仍然能连接的需求来说,这点资源占用又不算什么了。
