IT博客汇
  • 首页
  • 精华
  • 技术
  • 设计
  • 资讯
  • 扯淡
  • 权利声明
    • 登录 注册

    Fortigate 6.2 固件从 PPPoE 获得 IPv6 地址

    泠泫凝发表于 2024-04-22 07:55:23
    love 0

    从之前的 OpenWRT 改用 Fortigate 作为出口网关后发现获取不到 IPv6 了,纯 WebUI 的配置中也没有发现相关有用的配置,找了一篇 blog 简单研究了一下写下此笔记。

    环境简介

    Fortigate 50E

    • 固件版本:v6.2.16 build1392
    • 接口及连接方式:
      • SD-WAN
        • WAN1:移动,IPv4:Static
        • WAN2:电信PPPoE,IPv6-PD
      • LAN(硬件交换),192.168.1.99/24
        • LAN1:GL-MT3000
        • LAN2:Server
        • LAN3:Server
        • LAN4:Surface Dock

    本文所有配置未特殊说明均通过Console口配置,其实从电脑Telnet或者ssh到Fortigate都行。

    确定你的线路是否有IPv6

    这个很简单,直接插上光猫看看能不能获取到IPv6地址,能不能访问IPv6网站(本站支持纯v6环境)。如果不是拨号连接的大概率拿到的不是/64而是/128的块,这可能导致只有防火墙能拿到Public IPv6而下面的设备只能NAT6。

    如果手头有基于OpenWRT的路由器就更好了,直接从路由器拨号,首页上会写拿到了多大的块。

    IPv6配置

    首先无论如何都建议在GUI上开启IPv6配置功能,虽然目前没什么用但是以后方便。

    1
    2
    3
    config system global
        set gui-ipv6 enable
    end

    WAN口配置

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    config system interface
        edit "wan2"
            config ipv6
                set ip6-mode pppoe
                set ip6-allowaccess ping
                set dhcp6-prefix-delegation enable
                set dhcp6-prefix-hint ::/60
                set autoconf enable
            end
        next
    end

    这块没什么好说的,就注意一下edit那块对应上自己的接口就行。

    LAN口配置

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    config system interface
        edit "lan"
            config ipv6
                set ip6-mode delegated
                set ip6-allowaccess ping
                set ip6-send-adv enable
                set ip6-manage-flag enable
                set ip6-upstream-interface "wan2"
                set ip6-subnet ::2/64
                set ip6-other-flag enable
                config ip6-delegated-prefix-list
                    edit 1
                        set upstream-interface "wan2"
                        set autonomous-flag enable
                        set onlink-flag enable
                        set subnet ::/64
                    next
                end
            end
        next
    end

    这块主要是对LAN口进行设置,其中ip6-upstream-interface的值代表了IPv6的上游,我这里是WAN2口。

    IPv6 策略

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    config firewall policy6
        edit 1
            set name "Default out"
            set srcintf "lan"
            set dstintf "wan2"
            set srcaddr "all"
            set dstaddr "all"
            set action accept
            set schedule "always"
            set service "ALL"
            set logtraffic all
        next
        edit 2
            set name "Allow ICMP in"
            set srcintf "wan2"
            set dstintf "lan"
            set srcaddr "all"
            set dstaddr "all"
            set action accept
            set schedule "always"
            set service "ALL_ICMP6"
            set logtraffic all
        next
    end

    这块主要是IPv6策略的配置,第一条是出网流量,所有从lan口来的流量都可以被转发到wan2上;第二条是允许外部Ping通防火墙下IPv6地址(毕竟Fortigate默认的隐含规则是全部拒绝)。

    这个地方配置完之后可以在WebUI中-“策略 & 对象”-“IPv6策略”查看并新建开放其他端口的策略。

    配置DHCPv6服务器

    1
    2
    3
    4
    5
    6
    7
    8
    9
    config system dhcp6 server
        edit 1
            set interface "lan"
            set upstream-interface "wan2"
            set ip-mode delegated
            set dns-server1 2402:4e00::
            set dns-server2 2400:3200::1
        next
    end
    • upstream-interface:指定上游端口
    • dns-server1:指定DNS服务器,从1-4一共可以指定4个

    查看是否有IPv6地址被获取

    1
    diag ipv6 address list

    如果有公网的IPv6说明配置成功。按照英文的那篇blog还说需要reboot一下Fortigate,这块如果能正确获取IPv6还能通的话暂时应该也不需要。

    参考文档

    • 飞塔 FortiGate 50E-PPPOE获取IPV6地址
    • Enabling IPv6 with DHCPv6-PD and PPPoE on a Fortigate


沪ICP备19023445号-2号
友情链接