VPN over dynamic IP?

I have two ADSL ends, with dynamic IP.
Can Astaro establish a permanent(ar at least, the more permanent as it can be) VPN tunnel(dual initiated)?

i would add two dyndns accounts, in the VPN setup of astaro, can i use hostnames instead of IP(that would solve the dyndns problems).

There's a chance i can have a single static ip, but i can't count on it, so it's a dynamic-dynamic VPN link 

This is very bad indeed...
i'm not a linux user, editing scripts and stuff gives me the creeps, i will wait for the GUI to come out....
i thought astaro had dyn to dyn funcyionality, and i'm not sure about being able to get one static ip(so the DSL dynamic would be the initiator).

Also, the IP changes don't occur very often, and they occur only after reconnecting over a long period of time(if i disconnect and reconnect quick i get the same IP).

About dnssec, it's not necessary, since the VPN is on shared security or certificates, so if they change me the record, the VPN wouldn't be established.

so the only way to DYN-DYN astaro is meddling with scripts and stuff?

Also, i would be using a dyndns client(astaro does support this like smoothwall?) on the astaro or on a windows machine inside the LAN, so why would astaro "forgot" to check the new ip address if the IP doesn't change while the PPPoE session is up..?
 

I have a cable modem at home that gets and IP address from DHCP.  It work the way you are describing your internet service works.  the ip never changes unless the lease expires and can't been renewed (read your comptuer is turned off) or you plug the cable modem into a different NIC or you change the MAC address on your NIC.

If this is the way yours works, why don't you just consider it a staic IP?  If it's not mission cricital, it should be fine for you.  so your ip may change and you have to resetup the tunnel.


I have an SOA record pointed to my dynamic IP just so I can send and receive mail on my domain.  It works fine like that.  If the power goes off for a copule of days, sure my domain won't work until I change the DNS record to reflect the new IP.  so who cares.  it's just my personal mail and it's going to continue to bounce for a few days trying to deliver it before it bounces back to the sender.  

This has worked fine for me for years.  It may be something you want to consider. 

ok, first a little history.  I'm new to astaro, but have used IPCop/Smoothwall in the past and liked the dyndns update feature. It also needs to have the autoreconnect feature for dynamic vpn connections. (Astaro was recommended by friend.  Btw, nice job astaro folks.)  IMHO, I believe the dyndns autoupdate feature would be great.  Yes, there are some security issues involved, but let's take a two step approach to this topic. 

1. Would some of the security issues be solved if it was recommended that the dyndns vpn conncections were authenticated via x.509 or rsa certs?  I'm under the assumtion that using these certificates would prove difficult to hack or duplicate.

2.  This product isn't necessarily marketed to Fortune 500 companies as a head end device. (Though it seems, with enough horsepower, it could be scaleable enough.) SMB's and/or remote offices are more likely to utilize DSL/cable connections, which sometimes don't offer static ip's.  Wouldn't it be in the best interest of Astaro to offer a dyndns update feature to enhance their chances of becoming a firewall powerhouse.  SMB's are becoming the focus for many sectors of the IT industry.  Astaro needs to get their foot in the door and make a great name for themselves before the CISCO's and Microsoft's of the world really get their marketing dollars aimed at the smb's.  

Guillermo, I don't think you listened to my earlier argument. If you know of a firewall that does DynDNS(SEC) with the range of all the other features Astaro has,  in Astaro's price range, you should just go and get that firewall -period. Most firewall manufacturers are not in a race to support DynDNS for VPN and/or rules because they will be a laughingstock when a person using it gets hacked. If you know what you're doing (and I'm sorry to say, many will not), you could use the DynDNS as an additional restriction  on an alreaady restrictive filter; but that's not worth the cost it will take to bring to market soon; and all your (re)posts will not change that fact!

So what; "it's very bad indeed" that we're going to volunteer our time for free (and let me tell you something, I charge $$!) to help this gentleman get exactly the solution he wants??!!

As for your logic that "the IP changes don't occur very often"; it only takes one time to get pregnant.

As for "meddling with scripts", we can get this guy a solution that he loads once; done; no more editing. The "meddling" is just for the first time, and now we're even suggesting he won't have to be "editing scripts and stuff ", that we will do most of it for him (but we would like him to try and learn something first; I don't think he will be the worse for having done so!!).

If you need DynDNS on your LAN (and many do), run one on a box in your LAN; don't use Astaro's DNS. The reason Astaro does not support DynDNS to the LAN is because there are issues with the security standard on DynDNS (Windows versus OpenSource); you will need a specialized client, because Windows does its own thing in terms of how it does DynDNS. [it is not beyond the realm of possibility that Astaro might provide DynDNS to the LAN, but I can't speak to a release date...].

The only significant point I do concede to you is that the DynDNS might not need the SEC beacuse of the VPN layer of security. But once again, some people may feel uncomfortable having their VPN peer talk to just anybody. SSL patches, anyone?? OK, those people who are security-minded can choose not to run it. But I'm sorry, Astaro is a security-minded company, and that dictates their feature priorities. Again: would I like to see DynDNS in their firewall? Sure! But I understand why they did not make that feature a priority.

P.S. As I said earlier, why not have the firewall software mail (using strong encryption) and transparently interpret the changing addresses?? Then you wouldn't need to arrange for a DynDNS provider. There may be a flaw in that new idea, but that's the reason I posted it; to kick it around and have people shoot holes in it...

Guillermo, I don't think you listened to my earlier argument. If you know of a firewall that does DynDNS(SEC) with the range of all the other features Astaro has,  in Astaro's price range, you should just go and get that firewall -period. Most firewall manufacturers are not in a race to support DynDNS for VPN and/or rules because they will be a laughingstock when a person using it gets hacked. If you know what you're doing (and I'm sorry to say, many will not), you could use the DynDNS as an additional restriction  on an alreaady restrictive filter; but that's not worth the cost it will take to bring to market soon; and all your (re)posts will not change that fact!

So what; "it's very bad indeed" that we're going to volunteer our time for free (and let me tell you something, I charge $$!) to help this gentleman get exactly the solution he wants??!!

As for your logic that "the IP changes don't occur very often"; it only takes one time to get pregnant.

As for "meddling with scripts", we can get this guy a solution that he loads once; done; no more editing. The "meddling" is just for the first time, and now we're even suggesting he won't have to be "editing scripts and stuff ", that we will do most of it for him (but we would like him to try and learn something first; I don't think he will be the worse for having done so!!).

If you need DynDNS on your LAN (and many do), run one on a box in your LAN; don't use Astaro's DNS. The reason Astaro does not support DynDNS to the LAN is because there are issues with the security standard on DynDNS (Windows versus OpenSource); you will need a specialized client, because Windows does its own thing in terms of how it does DynDNS. [it is not beyond the realm of possibility that Astaro might provide DynDNS to the LAN, but I can't speak to a release date...].

The only significant point I do concede to you is that the DynDNS might not need the SEC beacuse of the VPN layer of security. But once again, some people may feel uncomfortable having their VPN peer talk to just anybody. SSL patches, anyone?? OK, those people who are security-minded can choose not to run it. But I'm sorry, Astaro is a security-minded company, and that dictates their feature priorities. Again: would I like to see DynDNS in their firewall? Sure! But I understand why they did not make that feature a priority.

P.S. As I said earlier, why not have the firewall software mail (using strong encryption) and transparently interpret the changing addresses?? Then you wouldn't need to arrange for a DynDNS provider. There may be a flaw in that new idea, but that's the reason I posted it; to kick it around and have people shoot holes in it...

It specifically states in the documentation that Astaro does NOT support Dynamic to Dynamic VPNs.

That being said I have DynDNS running on my African ASL box and it works very well.
You *can* setup Dyn-Dyn VPNs, just need a bit of work.

Due to DNS poison attacks etc I suggest you use strong keys.
Even this is not 100% because of potential software flaws.

That being said, my $140 wireless LAN router supports DynDNS out of the box.  LOT less features than ASL though, but it has MOST of what people need.
 

maybe i expressed myself poorly...
the "too bad" thing was more like an internal letdown since i was hoping to do dyn-stat or dyn-dyn out of the box.

about the dns, i'm not planning to use the astaro dns, but an internal PDC DNS with forwarders to the ISP dns.

about the resetup and the CM, yes, that could be, but it's not for me, it's for a client with remote offices, and it must be up the second the DSL in both ends connect, that's why i can't rely on the IP not changing, if it changes, the client will have our balls for desert   if i must go there to resetup the tunnel.

anyhow, i think my original question was answered thoroughly, now it's time to evaluate the solutions.

thanks 

Sorry if I sounded like I'm barking; I had the incorrect impression that I was being heckled for coming to someone's aid. That's a problem with boards and Email; the nuances of what is meant often get lost. Hopefully we'll start going VOIP in the near future.

I do hope that Astaro takes these dynamic discussions to heart...

Simon,
Could you enlighten us as to how you made the dyn-dns work on ASL?  Did you use the script above?  I'm new to linux and don't feel comfortable placing a compiler on the asl box.  Does anyone have the nslookup and libraries already compiled for asl?  Is it something that can be zipped and emailed?  

Why not Email jader and ask if he's considering making an easy-to-install tar? [as opposed to the mere proof of concept] As he said on another post, he had been in the hospital, but he's out now...
  

I sent a note to Jader a while back and haven't heard from him.  Has anybody talked to him, to make sure he's ok?