Fortinet：Fortiguard DDNS &&& Fortiguard 動态域名伺服器

寫這個的原因是因為，客戶使用ddns連接配接VPN，過程中出現了失效的問題，導緻分點的防火牆web管理和VPN全部不能使用了。

我是從三個方面排查的。

第一，ISP給的位址是否為城域網，百度一下就可以了。可以清楚的看見位址是城域網還是區域網路，如果是區域網路，那麼是不能使用fortiguard ddns的。

第二，fortiguard 訂閱是否過期了，這個功能可能是因為fortiguard過期了，但是實際情況兩個月前啊，我們過期的防火牆使用這個功能也是沒問題的。

第三，就是本文提到的fortiguard的ddns重新整理出了問題，這個最簡單的測試方法就是，你換一個新域名，如果使用沒問題，那就是解決了。當然你還可以做一些配置，

If your ISP changes your external IP address on a regular basis, and you have a static domain name, you can configure the external interface to use a dynamic DNS (DDNS) service. This ensures that external users and customers can always connect to your company firewall. If you have a FortiGuard subscription, you can use FortiGuard as the DDNS server.

如果你得網絡服務提供商定期更改你得出口IP位址，并且你具有靜态域名，那麼你将可以在外部接口配置中使用動态dns服務，這確定你得外網使用者和客戶可以一直連接配接到你的公司防火牆。如果你有fortiguard 訂閱，可以使用fortiguard作為DDNS伺服器。

You can configure FortiGuard as the DDNS server, in the FortiGate GUI or CLI.

你可以在web界面和cli中配置fortiguard作為ddns伺服器。

To configure FortiGuard as the DDNS server in the FortiGate GUI, select Network > DNS and enable FortiGuard DDNS. Then select the interface with the dynamic connection, which DDNS server you have an account with, your domain name, and account information. If your DDNS server isn’t on the list, there is a generic option where you can provide your DDNS server information.

在web界面配置fortiguard的ddns伺服器，如上圖，在網絡–>DNS中啟用FortiGuard DDNS。然後選擇ADSL的接口，你要使用賬戶的ddns伺服器的域名以及賬戶資訊(舉例，給域名一個唯一辨別，比如你得動态伺服器你想叫zhangsan-007，這個zhangsan-007就是填寫在唯一定位裡面的。然後就得到了你得動态域名https://zhangsan-007.fortiddns.com )。如果你的DDNS伺服器不在清單中，則有一個通用的選項，你可以在其中提供ddns的資訊。

上圖是測試裝置的伺服器清單，一共有三個。

To configure FortiGuard as the DDNS server - CLI:

config system fortiguard
		set ddns-server-ip
		set ddns-server-port 
	end
           

If you don’t have a FortiGuard subscription or want to use a different DDNS server, you can configure DDNS in the CLI. You can configure a DDNS for each interface. Only the first configured port appears in the FortiGate GUI. Additional commands vary depending on the DDNS server you select. Use the following CLI commands:

如果你沒有fortiguard訂閱或想要使用其他DDNS伺服器，可以在CLI中配置ddns。您可以為每個接口配置ddns。 web界面中隻顯示第一個配置的端口。其他指令因您選擇的DDNS伺服器而異。使用以下CLI指令：

config system ddns
			edit <DDNS_ID>
				set monitor-interface <external_interface> 
				set ddns-server <ddns_server_selection>
				next
			end
           

Configuring FortiGate to refresh DDNS IP addresses配置DDNS的重新整理

You can configure FortiGate to refresh DDNS IP addresses. FortiGate periodically checks the DDNS server that is configured.

你可以配置防火牆定期檢查ddns伺服器重新整理IP位址。

To configure FortiGate to refresh DDNS IP addresses - CLI:

config system ddns
		edit <1>
			set ddns-server FortiGuardDDNS 
			set use-public-ip enable
			set update-interval seconds
			next
		end
           

The possible values for update-interval are 60 to 2592000 seconds, and the default is 300 seconds.

update-interval的可能值為60-------2592000秒，預設值為300秒。

TLS support for DDNS updates

When cleartext is disabled, FortiGate uses the SSL connection to send and receive Dynamic DNS services (DDNS) updates.

當禁用明文時，防火牆使用SSL連接配接發送和接收動态DNS服務（DDNS）更新。

To disable cleartext - CLI:

config system ddns
		set clear-text disable 
		end
           

You can also set the ssl-certificate name in the same location, using the following command:

您還可以使用以下指令在同一位置設定ssl-certificate名稱：

set ssl-certificate <cert_name>
           

DDNS update override for DHCP

DHCP server has an override command option that allows DHCP server communications to go through DDNS to perform updates for the DHCP client. This enforces a DDS update of the AA field every time, even if the DHCP client does not request it. This allows the support of the allow/ignore/deny client-updates options.

dhcp伺服器具有覆寫指令選項，允許dhcp伺服器通信通過ddns執行dhcp用戶端的更新。 這樣每次都會強制執行AA字段的DDS更新，即使DHCP用戶端沒有請求它也是如此。 這允許支援allow / ignore / deny client-updates選項。

To enable DDNS update override - CLI:

config system dhcp server
		edit <0>
			set ddns-update_override enable next
		end
           

FortiDDNS registration to a public IP address

FortiDDNS注冊到公共IP位址

Fortinet’s Dynamic DNS services (FortiDDNS) can be registered to a public IP address even if the FortiGate model doesn’t have any physical interfaces on the Internet. This applies to when the FortiGate is behind other networking devices that are employing NAT. You can configure this in the GUI and the CLI.

即使fortigate模型在網際網路上沒有任何實體接口，Fortinet的動态DNS服務（FortiDDNS）也可以注冊到公共IP位址。 這适用于FortiGate落後于采用NAT的其他網絡裝置的情況。 您可以在GUI和CLI中進行配置。

最後這個自然段說的是防火牆裝置在内網的情況，我遇到的情況啊，是将這個外口映射到網關裝置上去使用的，沒有試過完全是内部網絡的情況下，ddns到底起不起作用。剛剛試了，是不行的！！！

QQ歡迎指教79723521