Ciao,
Ho un 70f a casa e sto lavorando sulla configurazione della VPN, ma mi sono reso conto che non ho, né posso ottenere, un IP statico per la porta WAN del FG (grazie Comcast). Come posso configurare una VPN senza un IP statico per la mia WAN? Qualcuno ha una guida o qualche documento che posso leggere per far partire tutto? Dovrei usare una VPN IPSec con DDNS?
DDNS è il tuo amico. Per quanto mi riguarda, finché mantieni lo stesso MAC sulla tua porta WAN, Comcast di solito ti assegnerà lo stesso indirizzo IP. Credo che il mio sia cambiato due volte in 15 anni.
Configura il gate per DNS. Nota che se hai il tuo DNS, imposta un CNAME a quello che configuri nelle istruzioni qui sotto… bam, DDNS facile al tuo dominio direttamente dal gate…
https://docs.fortinet.com/document/fortigate/7.4.1/administration-guide/685361/ddns
Se ottieni un IP pubblico dinamico da Comcast puoi usare FortiGuard DDNS (sotto Rete - DNS se ricordo bene), e puntare a quell’hostname quando configuri il firewall con l’IP statico. Se ottieni un IP privato dinamico allora DDNS non ti serve a niente.
In ogni caso, puoi evitare tutto il problema costruendo il tunnel con IKEv2 e specificando l’utente dial-up dalla parte con IP statico. Il firewall con IP dinamico si collegherà semplicemente a quello con IP statico e negozieranno il tunnel… imposta due di questi oggi. Con IKEv1 questo si chiamava Modalità aggressiva, ma con IKEv2 è integrato.