Kerio WinRoute Firewall poskytuje (mimo jiné)
služby pro vzdálený přístup do lokální sítě z Internetu (VPN
server — viz kapitola 23 Kerio VPN a
rozhraní Clientless SSL-VPN — viz
kapitola 24 Kerio Clientless SSL-VPN). Z Internetu mohou být
přístupné i další služby — např. rozhraní
Kerio StaR (viz kapitola 21 Kerio StaR — statistiky a reportování),
vzdálená správa WinRoute programem
Administration Console (viz kapitola 16.1 Nastavení vzdálené správy) nebo libovolná jiná služba (např. WWW server
v lokální síti — viz kapitola 7.4 Základní typy komunikačních pravidel).
Tyto služby jsou dostupné na veřejné IP adrese firewallu. Pokud je tato IP adresa statická a
existuje pro ni odpovídající DNS záznam, můžeme při přístupu k dané službě
použít příslušné jméno počítače (např. server.firma.cz
).
Neexistuje-li DNS záznam, pak je nutné si zapamatovat IP adresu firewallu, a ke
všem službám přistupovat pomocí IP adresy. Je-li navíc veřejná IP adresa
dynamická (tzn. během času se mění), pak je velmi obtížné nebo téměř nemožné se
k těmto službám z Internetu připojit.
Tento problém řeší podpora dynamického DNS ve WinRoute. Dynamický DNS zajistí DNS záznam pro vybrané jméno serveru, který bude vždy obsahovat aktuální IP adresu. Mapované služby tak budou vždy dostupné pod stejným jménem serveru, bez ohledu na to, zda a jak často se mění IP adresa.
Dynamický DNS (DDNS) je služba, která zajišťuje automatickou aktualizaci IP adresy v DNS záznamu pro dané jméno počítače. Služba DDNS je typicky nabízena ve dvou variantách:
zdarma — uživatel si může vybrat z několika
nabízených domén druhé úrovně (např. no-ip.org
,
ddns.info
apod.) a vybrané doméně zvolit jméno počítače,
které je dosud volné (např. firma.ddns.info
).
placená služba — uživatel si zaregistruje vlastní doménu
(např. firma.cz
) a poskytovatel služby pak zajišťuje DNS
server pro tuto doménu s možností automatické aktualizace záznamů.
Uživateli služby DDNS je zřízen účet, který slouží k ověření přístupu, aby mohla aktualizaci DNS záznamů provádět pouze oprávněná osoba. Aktualizace navíc probíhá zabezpečeným spojením (typicky HTTPS), aby nebylo možné komunikaci odposlouchávat. Aktualizaci dynamických DNS záznamů může provádět buď přímo uživatel ručně nebo (častěji) specializovaný software — v tomto případě WinRoute.
Je-li WinRoute nastaven pro spolupráci s dynamickým DNS, pak při každé změně IP adresy internetového rozhraní (včetně přepnutí primárního / záložního internetového připojení — viz kapitola 6.3 Zálohované internetové připojení) vyšle požadavek na aktualizaci IP adresy v dynamickém DNS. Díky tomu je DNS záznam pro danou IP adresu stále aktuální a k mapovaným službám lze přistupovat pomocí daného jména počítače.
Poznámka:
Používání služby DDNS se řídí podmínkami konkrétního poskytovatele.
Dynamické DNS záznamy mají nastavenou velmi krátkou dobu životnosti (TTL), a proto jsou uchovávány v cache jiných DNS serverů nebo forwarderů po velmi krátkou dobu. Pravděpodobnost, že klient dostane DNS odpověď s neplatnou (starou) IP adresou, je zcela minimální.
Některé DDNS servery umožňují také aktualizaci více záznamů současně. K tomuto účelu se používají zástupné znaky (wildcards).
Příklad: V DDNS existují dvě jména
počítačů, která obě odkazují na veřejnou IP adresu firewallu:
fw.firma.cz
a server.firma.cz
. Při změně
IP adresy stačí vyslat jeden požadavek na aktualizaci DNS záznamů se jménem
*.firma.cz
. Na základě tohoto požadavku budou aktualizovány
DNS záznamy pro obě výše uvedená jména.
Spolupráci s dynamickým DNS serverem lze nastavit v sekci Konfigurace / Další volby, záložka Dynamický DNS.
Jak již bylo zmíněno, nejprve je potřeba si zřídit účet (tzn. požadovaný dynamický DNS záznam s příslušnými přístupovými právy) u některého poskytovatele služby DDNS. WinRoute v současné době podporuje tyto poskytovatele DDNS:
ChangeIP (http://www.changeip.com/),
DynDNS (http://www.dyndns.org/),
No-IP (http://www.no-ip.com/).
V záložce Dynamický DNS je třeba zvolit příslušného poskytovatele služby DDNS, zadat DNS jméno, pro které má být aktualizován dynamický záznam, a uživatelské jméno a heslo pro přístup k aktualizaci dynamického záznamu. Pokud DDNS server podporuje zástupné znaky (wildcards), můžeme je ve jméně počítače použít.
Po zadání všech údajů je doporučeno vyzkoušet aktualizaci dynamického DNS záznamu stisknutím tlačítka
. Tím jednak ověříme, zda je automatická aktualizace funkční (server je dostupný, zadané údaje jsou správné atd.), a zároveň zajistíme aktualizaci příslušného DNS záznamu (IP adresa firewallu se od registrace nebo poslední ruční aktualizace již mohla změnit).Pokud při pokusu o aktualizaci DNS záznamu dojde k chybě, zobrazí se v záložce Dynamický DNS chybové hlášení s přesnou specifikací chyby (např. DDNS server není dostupný, selhalo ověření uživatele apod). Toto hlášení se rovněž zapíše do záznamu error.