Sinds gisteren freedom internet! Heel fijn.
Configuratie op mijn Fortigate 60E ging vlot, IPv4 binnen 10 minuten werkend gekregen.
Echter uren lopen stoeien met IPv6. Veel gelezen op verschillende fora, van freedom zelf maar ook van een andere provider.
Ik krijg het op een of andere manier niet werkend. De laatste configuratie is een fysieke interface, daaronder vlan 6 en daaronder de pppoe tunnel. Dan werkt IPv4 ook niet meer.
Wellicht heeft iemand ervaring met IPv6 op een Fortigate met FortiOS 7.4.x
Dit is mijn huidige configuratie, die ziet er anders uit dan toen ik ipv4 welk werkend had.
Dat was namelijk het PPPoE en VLAN deel in 1 interface.
Maar ik weet het nu even niet meer…
Note: ik werk al bijna 7 jaar met FortiGates als Netwerk Engineer. echter IPv6 kennis is ver weg gezakt en PPPoE heb ik ooit bij 1 klant geïmplementeerd en verder nooit meer.
config system interface
edit "wan1"
set vdom "root"
set type physical
set alias "Fiber"
set monitor-bandwidth enable
set role wan
set snmp-index 1
set mtu-override enable
set mtu 1512
next
edit "vlan6"
set vdom "root"
set alias "Freedom-Internet-VLAN"
set device-identification enable
set role wan
set snmp-index 30
set interface "wan1"
set mtu-override enable
set mtu 1508
set vlanid 6
next
edit "pppoe0"
set vdom "root"
set mode pppoe
set allowaccess ping
set type tunnel
set alias "internet"
set estimated-upstream-bandwidth 512000
set estimated-downstream-bandwidth 512000
set role wan
set snmp-index 31
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 1
set prefix-hint 2a10:xxxx:yyyy::/48
next
end
end
set interface "vlan6"
next
end
config system pppoe-interface
edit "pppoe0"
set ipv6 enable
set device "vlan6"
set username "fake@freedom.nl"
set password ENC
set ipunnumbered 45.x.y.z
next
end
config router static6
edit 1
set device "pppoe0"
next
end
Dank voor de link. Heb dit topic gelezen en helaas zitten er 3 major versions van FortiOS tussen.
Er is dus veel veranderd in de configuratie en de manier waarop een Fortigate met PPPoE om gaat blijkbaar. Die configuratie werkt niet in mijn geval, helaas. (Overigens vermoed ik nog steeds een laag 8 issue aan mijn kant).
De configuratie komt overeen, echter krijg ik al een invalid argument als ik ping6 wil doen naar ipv6.google.com
overigens, als ik diagnose ipv6 address list doe krijg ik geen ipv6 adressen te zien, noch de juiste (ipv6) interfaces. Dat terwijl IPv6 wel degelijk enabled is op de FortiGate.
Ik mis de configuratie van de interne interfaces. Want DHCP-PD geeft het de site een IPv6-prefix, niet de PPPoE-interface.
Als ik naar het ander artikel kijk ik denk dat het volstaat om op de PPPoE interface alleen het volgde te configureren:
edit "pppoe0"
[...]
config ipv6
set ip6-mode dhcp
set dhcp6-prefix-delegation enable
En dan op de interne interfaces zoiets als dit:
config system interface
edit "port1"
config ipv6
set ip6-mode delegated
set ip6-delegated-prefix-iaid 1
set ip6-upstream-interface "pppoe0"
end
next
end
Wellicht verwachte je een IPv6-adres op de PPPoE interface?
Ik ga eens kijken, Ik verwachtte inderdaad een IPv6 adres op de pppoe interface. Het lijkt me dat de Fortigate zelf ook IPv6 moet kunnen “praten”.
Edit:
Ik krijg de iapd er niet af omdat er nog references zijn. Dus ik ga vanavond gewoon weer even opnieuw beginnen.
Dit is de configuratie op een van de interne interfaces, momenteel de enige met ipv6 config:
config system interface
edit "Gebruikers"
set vdom "root"
set ip 172.16.20.1 255.255.255.0
set allowaccess ping https ssh snmp http fabric
set device-identification enable
set monitor-bandwidth enable
set role lan
set snmp-index 18
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-delegated-prefix-iaid 1
set ip6-upstream-interface "pppoe0"
set ip6-subnet 2a10:3781:57e5::1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "pppoe0"
set subnet 2a10:3781:57e5::/64
next
end
config dhcp6-iapd-list
edit 33
next
end
end
set interface "internal"
set vlanid 20
next
end
Bedankt voor de feedback tot zo ver.
Edit 2: Wat ik vooral frapant vind is dat IPv4 ook niet meer op komt wanneer ik de vlan interface scheid van de pppoe interface.
Dat praat ie ook Met link-local-adressen. IPv6 -adressen zijn te lang om te configureren. Daar moet je zoveel mogelijk van weg blijven
Ik denk niet dat je je prefix ergens hard moet configureren (dat is IPv4-denken). Je moet gewoon zeggen: “de eerste /64 hier, de tweede /64 daar, etc”. Dat is het idee achter prefix-delegatie.
Ik weet niet precies wat je bedoeld maar de PPPoE-tunnel gaat in 802.1q header met VLAN-ID 6. En IPv6 gaat weer in de PPPoE-tunnel. De VLAN-interface doet dus geen IP, maar alleen PPP.
Bij eerder gedeelde configuratie krijg ik geen IPv4.
Wanneer ik het configureer zoals onderstaande config krijg ik direct een ipv4 adres en werkt ipv4 ook naar behoren.
config system interface
edit "wan1"
set vdom "root"
set type physical
set alias "Fiber"
set monitor-bandwidth enable
set role wan
set snmp-index 1
set mtu-override enable
set mtu 1514
next
edit "freedom-inet"
set vdom "root"
set mode pppoe
set allowaccess ping
set fail-detect enable
set alias "wan1.6"
set device-identification enable
set estimated-upstream-bandwidth 512000
set estimated-downstream-bandwidth 512000
set monitor-bandwidth enable
set role wan
set snmp-index 20
set preserve-session-route enable
set username "fake@freedom.nl"
set password ENC [redacted]
set interface "wan1"
set mtu-override enable
set mtu 1506
set vlanid 6
next
end
Het verschil zit 'm in het stukje PPPoE interface met type Tunnel en een VLAN interface met type vlan en PPPoE addressing mode op het VLAN interface (in de laatste config is “set type vlan” een default value, daarom zie je 'm niet als je show doet, enkel show full)
Ik heb het inmiddels werkend gekregen. Met een beetje hulp van een bevriende collega met veel meer kennis dan ik en wat configuratie aanpassingen.
Belangrijk dat je IPv6 en PPPoE snapt voor je dit op pakt.
Dank voor de trigger arien, waarbij je vroeg of ik een IPv6 adres verwachtte op m’n PPPoE interface.
Hierbij de configuratie op m’n 60E op FortiOS 7.4.8
config system interface
edit "wan1"
set vdom "root"
set type physical
set alias "Fiber"
set monitor-bandwidth enable
set role wan
set snmp-index 1
set mtu-override enable
set mtu 1514
next
edit "freedom-inet"
set vdom "root"
set mode pppoe
set allowaccess ping
set fail-detect enable
set alias "wan1.6"
set device-identification enable
set estimated-upstream-bandwidth 512000
set estimated-downstream-bandwidth 512000
set monitor-bandwidth enable
set role wan
set snmp-index 20
set preserve-session-route enable
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 5
next
end
end
set username "fake@freedom.nl"
set password ENC [REDACTED]
set interface "wan1"
set mtu-override enable
set mtu 1506
set vlanid 6
next
edit "Gebruikers"
set vdom "root"
set ip 172.x.y.1 255.255.255.0
set allowaccess ping https ssh snmp http
set device-identification enable
set monitor-bandwidth enable
set role lan
set snmp-index 18
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping https ssh
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-max-interval 30
set ip6-min-interval 10
set ip6-delegated-prefix-iaid 5
set ip6-upstream-interface "freedom-inet"
set ip6-subnet ::1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "freedom-inet"
set delegated-prefix-iaid 5
set subnet ::/64
next
end
end
set interface "internal"
set mtu-override enable
set vlanid 20
next
end
config router static6
edit 1
set device "freedom-inet"
next
end
config firewall policy
edit 34
set uuid X
set srcintf "Gebruikers"
set dstintf "freedom-inet"
set action accept
set srcaddr6 "freedom ipv6 blok"
set dstaddr6 "all"
set schedule "always"
set service "ALL"
next
end
Ik denk dat mijn grootste twee take-aways van dit verhaal zijn dat:
Je krijgt van je provider geen IPv6 adres op je PPPoE interface.
PPPoE is gewoon een domme tunnel waarover je kunt communiceren, de “simpele” authenticatie zorgt ervoor dat je het juiste subnet van je provider krijgt.
Je zou in theorie wel een IPv6 adres kunnen krijgen maar je doet IPv6-PD, Prefix Delegation, dus je delegeert gewoon subnetten binnen die /48 aan je verschillende interne interfaces. Omdat er geen NAT is, is er ook geen noodzaak om die Firewall (eigenlijk Modem) een eigen IPv6 adres te geven. Mocht je toch iets met management enzo willen doen zou je of het interne vlan adres kunnen gebruiken of een loopback interface (voor bijvoorbeeld een IPSEC tunnel).
Met link-local-adressen. IPv6 -adressen zijn te lang om te configureren. Daar moet je zoveel mogelijk van weg blijven 