VPN over dynamic IP?

Having your firewall taking its marching orders from a DNS server is ill advised. You should be doing DNSSEC.

Some in the security business would even debate that! And for good reasons -see DNS Cache Poisoning - The Next Generation; I quote from the article: "Even detecting such an attack would be difficult, since the hijack would be largely independent of your [DNSSEC] servers...". I would clarify that it would be safe if you are talking directly to a DNSSEC server that hosts the records, or if you are talking to a chain of DNSSEC servers, but that often will not be the case. And to top it all off,  the only complete implementation of DNSSEC is presently only provided by bind; you know them, right? The guys with the stellar security track record??

Getting all that configured (along with the Dynamic) and thoroughly tested for the stringent security requirements that a firewall is expected to meet is not a trivial task!!

Astaro's responsibility is to insure that what they deliver you is rock solid reliable and doesn't cost an arm and a leg. OK, what's "an arm and a leg"? I'm talking about the many thousands of dollars that the 'old guard' of the firewall business charges. If you want to have hairy functionality (Dynamic DNSSEC, or multiple load balancing links with far dead gateway detection, etc.) TODAY at the prices I suspect most of you would like to pay, it is not possible yet. Someday it may be, but that day is not tomorrow or next week or even a few months from now.

If you're cost-conscious (and most people are these days!), and you need these technologies today, you'll just have to do it yourself. Be thankful that you can do it! With most other company's products you have to just sit around and suck eggs -or spend a skillion dollars...

OK OK you absolutely have right. 
But I don't think that it will be coast a lot to add the support to enter a hostname instead of an IP in the Web Interface.  
Maybe I see that false because I don't know how the Astaro middleware works. In this case please tell me what’s the big problem with hostnames in Astaro is.
  

I elaborated on my first post since you did your last post; see my last entry...

Trust me the DNSSEC is hairy, and most people won't have it configured right outside their firewall anyway. So it's a matter of practical economic priorities...
   

By the way: would I like to see a DNSSEC for Astaro? Sure; but in all likelihood, for the reasons previously stated, they will not be making it a priority. DNSSEC is certainly a laudable idea, and will not catch on unless we all start getting off our duffs and at least attempting to deploy it.

But your grousing got me thinking (and thank you for grousing! I would not have thought of it without your having made those contentions): on another post, a guy wanted an Email sent to him when the Inet's interface got brokered a new DHCP address by his ISP. Sounded rather kludgy at the time; "sheez", I said in so many other words, "why not just use dynamic DNS?" But that's now got me thinking  [ASTARO PLEASE NOTE]; what if two Astaro Firewall and/or VPN peers were to transparently mail their changing IP info (and, dare I say it: optional packetfilter rule requests?) back and forth through encrypted Email?? [The Email would be intercepted by and only 'read' by the firewall endpoints themselves] Has Astaro thought of this already and they're working on it??  THAT would be slick, not hard to do (like configuring DNSSEC), and much more reliable than DNSSEC presently is (see DNSSEC DOS issues)...
                      

This would be very cool indeed.  The only problem that I see with this is if you wanted to create a vpn connection to another vpn end point other than astaro.  the script will work fine with this because it does it's own nslookup, but some other end point won't have the capability to email it's ip when it changes.

 

it would be nice if astaro guys will implement this feature. im having also some difficulties to connect two astaro's both dynamic.  

did you try the script mentioned above? 

did you try the script mentioned above? 

tried but im a beginner to linux. didnt get it working.  

Probably because the crontab isn't set up just right; why not contact jader in (board) Email and see if he is helpful; if he is not, repost back here or the hackers forum and we will get it working...