Lxn-Chan!

(~ ̄▽ ̄)→))* ̄▽ ̄*)o

从之前的 OpenWRT 改用 Fortigate 作为出口网关后发现获取不到 IPv6 了,纯 WebUI 的配置中也没有发现相关有用的配置,找了一篇 blog 简单研究了一下写下此笔记。

环境简介

Fortigate 50E

  • 固件版本:v6.2.16 build1392
  • 接口及连接方式:
    • SD-WAN
      • WAN1:移动,IPv4:Static
      • WAN2:电信PPPoE,IPv6-PD
    • LAN(硬件交换),192.168.1.99/24
      • LAN1:GL-MT3000
      • LAN2:Server
      • LAN3:Server
      • LAN4:Surface Dock

本文所有配置未特殊说明均通过Console口配置,其实从电脑Telnet或者ssh到Fortigate都行。

确定你的线路是否有IPv6

这个很简单,直接插上光猫看看能不能获取到IPv6地址,能不能访问IPv6网站(本站支持纯v6环境)。如果不是拨号连接的大概率拿到的不是/64而是/128的块,这可能导致只有防火墙能拿到Public IPv6而下面的设备只能NAT6。

如果手头有基于OpenWRT的路由器就更好了,直接从路由器拨号,首页上会写拿到了多大的块。

IPv6配置

首先无论如何都建议在GUI上开启IPv6配置功能,虽然目前没什么用但是以后方便。

1
2
3
config system global
set gui-ipv6 enable
end

WAN口配置

1
2
3
4
5
6
7
8
9
10
11
config system interface
edit "wan2"
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/60
set autoconf enable
end
next
end

这块没什么好说的,就注意一下edit那块对应上自己的接口就行。

LAN口配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
config system interface
edit "lan"
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-upstream-interface "wan2"
set ip6-subnet ::2/64
set ip6-other-flag enable
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan2"
set autonomous-flag enable
set onlink-flag enable
set subnet ::/64
next
end
end
next
end

这块主要是对LAN口进行设置,其中ip6-upstream-interface的值代表了IPv6的上游,我这里是WAN2口。

IPv6 策略

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
config firewall policy6
edit 1
set name "Default out"
set srcintf "lan"
set dstintf "wan2"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 2
set name "Allow ICMP in"
set srcintf "wan2"
set dstintf "lan"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL_ICMP6"
set logtraffic all
next
end

这块主要是IPv6策略的配置,第一条是出网流量,所有从lan口来的流量都可以被转发到wan2上;第二条是允许外部Ping通防火墙下IPv6地址(毕竟Fortigate默认的隐含规则是全部拒绝)。

这个地方配置完之后可以在WebUI中-“策略 & 对象”-“IPv6策略”查看并新建开放其他端口的策略。

配置DHCPv6服务器

1
2
3
4
5
6
7
8
9
config system dhcp6 server
edit 1
set interface "lan"
set ip-mode delegated
set upstream-interface "wan2"
set dns-server1 2402:4e00::
set dns-server2 2400:3200::1
next
end
  • upstream-interface:指定上游端口
  • dns-server1:指定DNS服务器,从1-4一共可以指定4个

注意需要先指定ip-modedelegated之后,才能指定上游接口。否则设置无效不会被保存

查看是否有IPv6地址被获取

1
diag ipv6 address list

如果有公网的IPv6说明配置成功。按照英文的那篇blog还说需要reboot一下Fortigate,这块如果能正确获取IPv6还能通的话暂时应该也不需要。

参考文档

 简单说两句



联系站长 | 服务状态 | 友情链接

备案号:辽ICP备19013963号

萌ICP备 20219421 号

中国互联网违法和不良信息举报中心

架构版本号:8.1.6 | 本站已全面支持IPv6

正在载入运行数据(1/2)请稍后...
正在载入运行数据(2/2)请稍后...

Copyright 2024 LingXuanNing, All rights reserved.