Fortinet：Fortiguard DDNS &&& Fortiguard 动态域名服务器

写这个的原因是因为，客户使用ddns连接VPN，过程中出现了失效的问题，导致分点的防火墙web管理和VPN全部不能使用了。

我是从三个方面排查的。

第一，ISP给的地址是否为城域网，百度一下就可以了。可以清楚的看见地址是城域网还是局域网，如果是局域网，那么是不能使用fortiguard ddns的。

第二，fortiguard 订阅是否过期了，这个功能可能是因为fortiguard过期了，但是实际情况两个月前啊，我们过期的防火墙使用这个功能也是没问题的。

第三，就是本文提到的fortiguard的ddns刷新出了问题，这个最简单的测试方法就是，你换一个新域名，如果使用没问题，那就是解决了。当然你还可以做一些配置，

If your ISP changes your external IP address on a regular basis, and you have a static domain name, you can configure the external interface to use a dynamic DNS (DDNS) service. This ensures that external users and customers can always connect to your company firewall. If you have a FortiGuard subscription, you can use FortiGuard as the DDNS server.

如果你得网络服务提供商定期更改你得出口IP地址，并且你具有静态域名，那么你将可以在外部接口配置中使用动态dns服务，这确保你得外网用户和客户可以一直连接到你的公司防火墙。如果你有fortiguard 订阅，可以使用fortiguard作为DDNS服务器。

You can configure FortiGuard as the DDNS server, in the FortiGate GUI or CLI.

你可以在web界面和cli中配置fortiguard作为ddns服务器。

To configure FortiGuard as the DDNS server in the FortiGate GUI, select Network > DNS and enable FortiGuard DDNS. Then select the interface with the dynamic connection, which DDNS server you have an account with, your domain name, and account information. If your DDNS server isn’t on the list, there is a generic option where you can provide your DDNS server information.

在web界面配置fortiguard的ddns服务器，如上图，在网络–>DNS中启用FortiGuard DDNS。然后选择ADSL的接口，你要使用账户的ddns服务器的域名以及账户信息(举例，给域名一个唯一标识，比如你得动态服务器你想叫zhangsan-007，这个zhangsan-007就是填写在唯一定位里面的。然后就得到了你得动态域名https://zhangsan-007.fortiddns.com )。如果你的DDNS服务器不在列表中，则有一个通用的选项，你可以在其中提供ddns的信息。

上图是测试设备的服务器列表，一共有三个。

To configure FortiGuard as the DDNS server - CLI:

config system fortiguard
		set ddns-server-ip
		set ddns-server-port 
	end
           

If you don’t have a FortiGuard subscription or want to use a different DDNS server, you can configure DDNS in the CLI. You can configure a DDNS for each interface. Only the first configured port appears in the FortiGate GUI. Additional commands vary depending on the DDNS server you select. Use the following CLI commands:

如果你没有fortiguard订阅或想要使用其他DDNS服务器，可以在CLI中配置ddns。您可以为每个接口配置ddns。 web界面中只显示第一个配置的端口。其他命令因您选择的DDNS服务器而异。使用以下CLI命令：

config system ddns
			edit <DDNS_ID>
				set monitor-interface <external_interface> 
				set ddns-server <ddns_server_selection>
				next
			end
           

Configuring FortiGate to refresh DDNS IP addresses配置DDNS的刷新

You can configure FortiGate to refresh DDNS IP addresses. FortiGate periodically checks the DDNS server that is configured.

你可以配置防火墙定期检查ddns服务器刷新IP地址。

To configure FortiGate to refresh DDNS IP addresses - CLI:

config system ddns
		edit <1>
			set ddns-server FortiGuardDDNS 
			set use-public-ip enable
			set update-interval seconds
			next
		end
           

The possible values for update-interval are 60 to 2592000 seconds, and the default is 300 seconds.

update-interval的可能值为60-------2592000秒，默认值为300秒。

TLS support for DDNS updates

When cleartext is disabled, FortiGate uses the SSL connection to send and receive Dynamic DNS services (DDNS) updates.

当禁用明文时，防火墙使用SSL连接发送和接收动态DNS服务（DDNS）更新。

To disable cleartext - CLI:

config system ddns
		set clear-text disable 
		end
           

You can also set the ssl-certificate name in the same location, using the following command:

您还可以使用以下命令在同一位置设置ssl-certificate名称：

set ssl-certificate <cert_name>
           

DDNS update override for DHCP

DHCP server has an override command option that allows DHCP server communications to go through DDNS to perform updates for the DHCP client. This enforces a DDS update of the AA field every time, even if the DHCP client does not request it. This allows the support of the allow/ignore/deny client-updates options.

dhcp服务器具有覆盖命令选项，允许dhcp服务器通信通过ddns执行dhcp客户端的更新。 这样每次都会强制执行AA字段的DDS更新，即使DHCP客户端没有请求它也是如此。 这允许支持allow / ignore / deny client-updates选项。

To enable DDNS update override - CLI:

config system dhcp server
		edit <0>
			set ddns-update_override enable next
		end
           

FortiDDNS registration to a public IP address

FortiDDNS注册到公共IP地址

Fortinet’s Dynamic DNS services (FortiDDNS) can be registered to a public IP address even if the FortiGate model doesn’t have any physical interfaces on the Internet. This applies to when the FortiGate is behind other networking devices that are employing NAT. You can configure this in the GUI and the CLI.

即使fortigate模型在互联网上没有任何物理接口，Fortinet的动态DNS服务（FortiDDNS）也可以注册到公共IP地址。 这适用于FortiGate落后于采用NAT的其他网络设备的情况。 您可以在GUI和CLI中进行配置。

最后这个自然段说的是防火墙设备在内网的情况，我遇到的情况啊，是将这个外口映射到网关设备上去使用的，没有试过完全是内部网络的情况下，ddns到底起不起作用。刚刚试了，是不行的！！！

QQ欢迎指教79723521