FortiGuard DDNS und Austausch der FortiGate

Die Fortigates bieten startend mit FortiOS v5.0 einen Fortinet-eigenen, kostenlosen DynDNS-Dienst an. DynDNS leistet immer dann wertvolle Dienste, wenn die Fortigate über ihren Provider keine fixe IP-Adresse bekommt, man aber dennoch die Fortigate vom Internet her direkt ansprechen will – z.B. für ein VPN oder eine IP Weiterleitung auf einen internen Server. Statt umständlich die IP Adresse ein zu tippen (vor allem bei IPv6) kann einfach ein leicht zu merkender Name verwendet werden.

Die DynDNS Funktionalität an sich ist schon seit jeher verfügbar, aber mit dem neuen Fortinet-eigenen Dienst bieten sich dem Admin zwei wesentliche Vorteile. Zum einen ist der Dienst kostenlos – ok, zugegebenermassen sind das andere DynDNS Dienste auch. Zum anderen braucht man keinen separaten Account bei einem 3rd Party Anbieter erstellen und diesen auch nicht verwalten. Zur Konfiguration des FortiGuard DynDNS Features reicht es vollkommen aus, auf der Fortigate selber das gewünschte Interface (dessen IP Adresse mit dem DynDNS-Namen verbunden werden soll), einen der drei DynDNS Server (fortiddns.com, fortidyndns.com oder float-zone.com) und einen freien Namen auszuwählen.

Ob ein Name noch verfügbar ist, wird direkt beim Eingeben deutlich:

Durch das Abspeichern mit „Apply“ ist der DNS-Name aufgeschaltet und verfügbar.

Nun stellt sich bei dieser frappierenden Einfachheit natürlich sofort die Frage nach der Sicherheit. Wie wird verhindert, dass irgend jemand anderes versucht, diesen Namen zu übernehmen und damit eine andere IP-Adresse hierfür beim DynDNS Server hinterlegt? Die Antwort ist genauso einfach wie die Konfiguration: die Fortigate kommuniziert mit dem DynDNS Server über eine TLS-Verbindung, bei der sowohl Server als auch Fortigate ihr Zertifikat austauschen. Auf dem Fortigate-Zertifikat ist die Seriennummer der Fortigate hinterlegt, so dass sie sich damit authentifizieren kann. Wird also einmal ein neuer DynDNS-Name registriert, merkt sich der Server die dazugehörige Seriennummer und eine andere Fortigate kann nun nicht mehr diesen Namen – sei es beabsichtigt oder unbeabsichtigt – übernehmen.

So weit, so gut.

Leider wirft dieses Verfahren auch ein ganz kleines Problem auf: was passiert, wenn jemand seine eigene Fortigate z.B. über ein Trade-Up Programm durch eine andere Fortigate austauscht?

Die neue Fortigate kommt natürlich mit einer neuen Seriennummer daher und damit können wir – trotz gleicher Konfiguration – den DynDNS Namen nicht nutzen.

Es gibt jedoch zwei Lösungsansätze:

1.) Die einfache und schnelle Lösung: kurz vor dem Austausch der Fortigate den FortiGuardDDNS-Server auf der alten Fortigate ausschalten (die Checkbox neben „Enable FortiGuard DDNS“ abwählen). Damit wird die Registrierung von dem Namen freigegeben und die neue Fortigate kann den Namen dann wieder neu registrieren.

2.) Die etwas aufwändigere Lösung, die aber auch funktioniert, wenn die Fortigates bereits ausgetauscht wurden: bei Fortinet ein Support-Ticket eröffnen und um Freischaltung des Namens bitten. Das aber bitte mit dem Support-Account auf dem auch die alte Fortigate registriert war.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.