NAT Internet后Palo Alto的DDNS

Question

我们想配置SDWAN为我们的分支网站，只有宽带互联网。为了做到这一点，我们需要知道PAN使用哪个公共IP来启动SDWAN。由于公共IP不时发生变化，我们希望使用FQDN，因此需要在internet接口上配置DDNS。

我用No-IP v1和FreeDNS Afraid.org v1做了半工半读，但是由于PAN FW坐在NAT后面的宽带调制解调器，所以两者都以私有IP为值。我想要的显然是SNAT从宽带调制解调器获得的公共IP，而不是palo alto接口的私有ip。

DDNS配置：

DDNS信息：

NoIP记录：

我们的环境：

• PANOS 10.2.4

所以我的问题

1. 假设没有其他设备(路由器/服务器)可以用作DDNS客户端。在Palo Alto只有私有IP (坐在NAT后面)的情况下，是否可以只使用Palo Alto NGFW作为DDNS客户端？
2. 如果是的话，怎么做？

Answer 1

因为您使用的是动态DHCP客户端，所以答案是否定的。使用DHCP只能看到本地接口地址。由于您在PA和WAN之间似乎有一个NAT路由器，所以无法直接查看该地址。

您需要向WAN路由器或外部服务询问您当前的公共地址。最有可能的情况是，这个任务最好放在您的服务器上--一些脚本应该处理这个问题(这里不讨论这个话题)。

或者，你可以

• 将PA直接连接到广域网--毕竟是防火墙或
• 与您的ISP联系以获得永久公共IP地址。

我推荐两者都行。