DynDNS mit ScreenOS

Statische IP-Adressen gibt es heutzutage nahezu ohne Aufpreis bei fast jedem Internet Provider. Aber bei expliziten Privatanschlüssen werden nach wie vor dynamische IP-Adressen verwendet. Möchte man in solchen Situationen trotzdem auf seine Firewall von außen zugreifen oder möchte man Server veröffentlichen, kann man sich Dienste wie z.B. DynDNS bedienen. Hier kann man über eine Webabfrage seine IP-Adresse unter einem Hostnamen registrieren. Entweder macht man dies manuell, oder verwendet einen DynDNS Client. Praktischerweise können ScreenOS basierte Firewalls dies automatisch erledigen. Dies geht im konkreten Fall von DynDNS wie folgt:

1. DynDNS verwendet ein HTTPS Zertifikat, ausgestellt von GeoTrust. Leider fehlt das GeoTrust Zertifikat in der Liste der Stammzertifikate von ScreenOS, auch in den neusten Releases. Es gibt sogar einen eigenen KB Artikel der auf dieses Faktum hinweist (http://kb.juniper.net/KB7380). Dort kann man auch das Stammzertifikat herunterladen und es wird erklärt, wie man es in den Zertifikatsspeicher importiert.
2. Wir brauchen von DynDNS folgende Angaben: Benutzername, Kennwort und den Hostnamen, unter dem wir die IP-Adresse registrieren wollen. Z.B. beispiel.dyndns.org.
3. Wir können nun folgende CLI Befehle eingeben:

set dns ddns
set dns ddns id 1 server-type dyndns refresh-interval 2
set dns ddns id 1 username BENUTZERNAME password PASSWORT

set dns ddns id 1 src-interface ethernet0/0 host-name beispiel.dyndns.org
set dns ddns enable

Wir gehen in diesem Beispiel davon aus, dass das Interface mit der externen IP-Adresse, ethernet0/0 ist und wir die Registrierung alle zwei Stunden aktualisieren wollen.

Leider unterstützen die JUNOS basierten SRX Firewalls DynDNS derzeit nicht. Dieses Feature gab es kurzfristig unter JUNOS ES 9.3, es wurde aber aus Qualitätsgründen in den späteren Releases wieder entfernt. Wir müssen uns wohl noch etwas gedulden bis dieses Feature wieder zurückkommt.