Fortigate 6.2 固件从 PPPoE 获得 IPv6 地址

从之前的 OpenWRT 改用 Fortigate 作为出口网关后发现获取不到 IPv6 了，纯 WebUI 的配置中也没有发现相关有用的配置，找了一篇 blog 简单研究了一下写下此笔记。

环境简介

Fortigate 50E

• 固件版本：v6.2.16 build1392
• 接口及连接方式：
  • SD-WAN
    • WAN1：移动，IPv4：Static
    • WAN2：电信PPPoE，IPv6-PD
  • LAN（硬件交换），192.168.1.99/24
    • LAN1：GL-MT3000
    • LAN2：Server
    • LAN3：Server
    • LAN4：Surface Dock

本文所有配置未特殊说明均通过Console口配置，其实从电脑Telnet或者ssh到Fortigate都行。

确定你的线路是否有IPv6

这个很简单，直接插上光猫看看能不能获取到IPv6地址，能不能访问IPv6网站（本站支持纯v6环境）。如果不是拨号连接的大概率拿到的不是/64而是/128的块，这可能导致只有防火墙能拿到Public IPv6而下面的设备只能NAT6。

如果手头有基于OpenWRT的路由器就更好了，直接从路由器拨号，首页上会写拿到了多大的块。

IPv6配置

首先无论如何都建议在GUI上开启IPv6配置功能，虽然目前没什么用但是以后方便。

config system global
    set gui-ipv6 enable
end

WAN口配置

config system interface
    edit "wan2"
        config ipv6
            set ip6-mode pppoe
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set dhcp6-prefix-hint ::/60
            set autoconf enable
        end
    next
end

这块没什么好说的，就注意一下edit那块对应上自己的接口就行。

LAN口配置

config system interface
    edit "lan"
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-upstream-interface "wan2"
            set ip6-subnet ::2/64
            set ip6-other-flag enable
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan2"
                    set autonomous-flag enable
                    set onlink-flag enable
                    set subnet ::/64
                next
            end
        end
    next
end

这块主要是对LAN口进行设置，其中ip6-upstream-interface的值代表了IPv6的上游，我这里是WAN2口。

IPv6 策略

config firewall policy6
    edit 1
        set name "Default out"
        set srcintf "lan"
        set dstintf "wan2"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
    edit 2
        set name "Allow ICMP in"
        set srcintf "wan2"
        set dstintf "lan"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL_ICMP6"
        set logtraffic all
    next
end

这块主要是IPv6策略的配置，第一条是出网流量，所有从lan口来的流量都可以被转发到wan2上；第二条是允许外部Ping通防火墙下IPv6地址（毕竟Fortigate默认的隐含规则是全部拒绝）。

这个地方配置完之后可以在WebUI中-“策略 & 对象”-“IPv6策略”查看并新建开放其他端口的策略。

配置DHCPv6服务器

config system dhcp6 server
    edit 1
        set interface "lan"
        set ip-mode delegated
        set upstream-interface "wan2"
        set dns-server1 2402:4e00::
        set dns-server2 2400:3200::1
    next
end

• upstream-interface：指定上游端口
• dns-server1：指定DNS服务器，从1-4一共可以指定4个

注意需要先指定ip-mode为delegated之后，才能指定上游接口。否则设置无效不会被保存。

查看是否有IPv6地址被获取

diag ipv6 address list

如果有公网的IPv6说明配置成功。按照英文的那篇blog还说需要reboot一下Fortigate，这块如果能正确获取IPv6还能通的话暂时应该也不需要。

参考文档

• 飞塔 FortiGate 50E-PPPOE获取IPV6地址
• Enabling IPv6 with DHCPv6-PD and PPPoE on a Fortigate