Привет,
У меня есть 70f дома, и я работаю над настройкой VPN, но тут я понял, что у меня нет статического IP или возможности его получить для WAN-порта FG (спасибо Comcast). Как мне настроить VPN без статического IP для моего WAN? Есть ли у кого-то руководство или документация, которую я мог бы прочитать, чтобы начать? Нужно ли использовать IPSec VPN с DDNS?
DDNS — ваш друг. В качестве заметки, если вы сохраняете тот же MAC-адрес на вашем WAN-порте, Comcast обычно даст вам тот же IP-адрес. Думаю, он менялся всего два раза за 15 лет.
Настройте DNS на шлюзе. Обратите внимание, что если у вас свой DNS, настройте CNAME на тот, который вы задаёте в инструкциях ниже… и всё, быстрый DDNS для вашего домена прямо с шлюза…
https://docs.fortinet.com/document/fortigate/7.4.1/administration-guide/685361/ddns
Если у вас динамический публичный IP от Comcast, вы можете использовать FortiGuard DDNS (в разделе «Сеть» — «DNS», если я правильно помню), и указывать это имя хоста при настройке файрвола с статическим IP. Если у вас динамический приватный IP, то DDNS вам не поможет.
В любом случае, вы можете избежать всей этой проблемы, настроив туннель с IKEv2 и просто указав Dial-up пользователя на стороне с статическим IP. Firewall с динамическим IP просто обратится к тому с статическим, и они договорятся о туннеле… настройте два таких сегодня. Для IKEv1 это называлось более агрессивный режим, но с IKEv2 он встроен.
DDNS — это самый простой вариант.