IPv6 op Fortigate

[SpecialK]

Ik ben al even aan het sukkelen om IPv6 op een Fortigate firewall met FortiOS 6.4 aan de praat te krijgen.
Ik heb al allerlei combinaties geprobeerd die elk wel "iets" lijken te doen, maar ik krijg het niet end-to-end werkend.

De BBOX3 staat in bridge en de Fortigate bouwt de PPPoE sessie op. Voor IPv4 is er niets te configureren; dat IP wordt gewoon via IPCP aangeleverd zoals dat al ruim 20 jaar gebeurt.
Maar voor IPv6 kan ik kiezen tussen IPv6 geconfigureerd door PPPoE, DHCPv6 of prefix delegation. Dat laatste zal het wel niet zijn, maar kan iemand met 100% zekerheid bevestigen dat het IPv6 adres via PPPoE geconfigureerd wordt, en dus niet via DHCPv6? Als ik dat configureer krijg ik op mijn WAN interface een ULA (beginnend met fd06, wat de range van Proximus is) maar geen prefix op de LAN interface.

Dit is mijn WAN config:
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable

Dit is mijn LAN config:
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-upstream-interface "wan1"
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
next
end

Ik heb dit al gevonden
https://forum.fortinet.com/tm.aspx?m=142564
maar dat gaat over een oudere OS-versie en het helpt me niet meteen verder. En hij gebruikt DHCPv6 op zijn WAN, waarmee ik niet eens een adres krijg. Dus enige ervaringen zouden welkom zijn.

[Tomsworld]

Vooraleer je start, om zeker te zijn :

a) je hebt werkende ipv6 als je via de bbox3 werkt ? ( ipv6 kan uitgezet worden per login, maar dacht als er een bbox3 aanhangt voor even wordt bij nieuwe klanten de ipv6 activation automatische getriggerd of er moet ooit iemand een block op gezet hebben ).

b) je hebt de ppp uitstaan op je bbox3 ?

[SpecialK]

IPv6 werkt wanneer we de BBOX als router gebruiken. PPPoE op de BBOX staat uit, behalve de Fortigate hangt er geen enkel ander device meer aan.

[jackho]

Je mag ook de B-Box3 ook gewoon als router gebruiken, aangezien de B-Box3 PPPoE pass trough ondersteunt.

[SpecialK]

Ja, inderdaad, ik had gemerkt dat je twee PPPoE sessies tegelijk kan opbouwen (één op de BBOX en één op de Fortigate) maar aangezien de BBOX er gewoon als modem tussen staat heb ik die functionaliteit niet nodig. De Fortigate bouwt de PPPoE sessie op en dat werkt correct, alleen IPv6 werkt niet. En om nu de BBOX een aparte PPPoE sessie te laten opzetten om dan via PD een IP aan de Fortigate te geven, dat vind ik een brug te ver

[Sasuke]

Zet eens 'set autoconf enable' bij op uwe ip6config van de WAN ?

[deman]

Ik heb m'n Edgerouter in Prefix Delegation staan. prefix-length /56

Werkt perfect.

[Bart.Maes]

Ik heb dit al gevonden
https://forum.fortinet.com/tm.aspx?m=142564
maar dat gaat over een oudere OS-versie en het helpt me niet meteen verder. En hij gebruikt DHCPv6 op zijn WAN, waarmee ik niet eens een adres krijg. Dus enige ervaringen zouden welkom zijn.

Ik ben intussen overgeschakeld op EDP
IPv6 werkt hier goed met volgende config in 6.2.4:

Code: Selecteer alles

config system interface
    edit "wan1"
        config ipv6
            set ip6-mode pppoe
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set dhcp6-prefix-hint 2a02:xxx:xxx:xxx::/56
            set autoconf enable
        end
    next 
end 

config system interface
    edit "userlan"
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh
            set dhcp6-prefix-delegation enable
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::1/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                next
            end
        end
    next
end 

[SpecialK]

Hoe heb je deze thread zo snel gevonden?

Bedankt, maar helaas lukt het met jouw config nog steeds niet; ik krijg weer een ULA adres op mijn WAN:
dev=5 devname=wan1 flag= scope=0 prefix=64 addr=fd06:d28c:...

Daarnaast ook een link-local op de wan:
dev=5 devname=wan1 flag=P scope=253 prefix=64 addr=fe80::6d5:...

En een link-local op de ppp1 (vanwaar die ook mag komen)
dev=27 devname=ppp1 flag=P scope=253 prefix=10 addr=fe80::6d5:...

Niks op de LAN-interface.

In diezelfde thread op het Fortinet forum stond iets over iemand die zijn config op nieuw aangemaakte pppoe1 interface gezet had. Zou dat evt zin hebben?

[Tomsworld]

Hoe heb je deze thread zo snel gevonden?

Omdat de wereld klein is

[SpecialK]

Ik dacht al dat iemand hem getipt had Bedankt hiervoor!
Helaas is het probleem nog niet opgelost en zie ik nog steeds geen publieke IPv6 range. Iemand anders nog enig idee?

[SpecialK]

Ik ben er dus nog steeds niet uit. In de voorbeeldconfigs (die bij mij dus niet werken) zie ik dat er PPPoE gebruikt wordt, terwijl ik PFSense users zie die DHCPv6 gebruiken. Kan iemand bevestigen welk protocol Proximus gebruikt als de modem in bridge staat?

[philippe_d]

Als ik een 2de Fritz!Box aansluit achter mijn Fritz!Box VDSL2 modem (met PPPoE passtrough enabled):

• zonder PPPoE krijg ik een /60 prefix uit de /56 range van mijn eerste router (via PD).
• met PPPoE krijg ik een aparte publieke /56 prefix (naast het /64 SLAAC adres op de WAN poort).

[SpecialK]

En hoe heb je de IPv6 van je eerste Fritzbox geconfigureerd? KAN je daar iets instellen, of is dat gewoon "enable IPv6"?

[philippe_d]

[SpecialK]

Daar zie je het natuurlijk niet meteen aan. Ik ben even gaan wiresharken, en ik zie hetvolgende:

No. Time Source Destination Protocol Length Info
21 9.572416 04:d5:90:xx:xx:xx MS-NLB-PhysServer-11_85:18:00 PPP IPV6CP 36 Configuration Request
25 9.578093 MS-NLB-PhysServer-11_85:18:00 04:d5:90:xx:xx:xx PPP IPV6CP 60 Configuration Request
27 9.578409 04:d5:90:xx:xx:xx MS-NLB-PhysServer-11_85:18:00 PPP IPV6CP 36 Configuration Ack
28 10.372560 MS-NLB-PhysServer-11_85:18:00 04:d5:90:xx:xx:xx PPP IPV6CP 60 Configuration Ack

In geen van die pakketten zie ik echter een IPv6 IP in de payload staan. In de PPP IPCP pakketten zie ik dit wel. Dit is het meest relevante IPCP pakket:

Options: (18 bytes), IP Address, Primary DNS Server IP Address, Secondary DNS Server IP Address
IP Address
Type: IP Address (3)
Length: 6
IP Address: 194.78.xxx.xxx
Primary DNS Server IP Address
Type: Primary DNS Server IP Address (129)
Length: 6
Primary DNS Address: 195.238.2.22
Secondary DNS Server IP Address
Type: Secondary DNS Server IP Address (131)
Length: 6
Secondary DNS Address: 195.238.2.21

Iets later in de capture zie ik wel iets anders interessants: een neighbor sollicitation vanuit de Proximus infra die door de Fortigate genegeerd lijkt te worden:

Internet Control Message Protocol v6
Type: Neighbor Solicitation (135)
...
Target Address: 2a02:a018:c0::

Wat wel degelijk de Proximus range is. Waardoor ik dus nog altijd twijfel of het TOCH niet via DHCPv6 moet...

[GuntherDW]

Ik heb geen Fortigate maar een mikrotik.
Hierbij heb ik bovenop m'n PPPoE conn gewoon een IPv6 DHCP client draaiende, maar dan niet voor een adres, maar dan gewoon request "prefix".

Het werkt niet altijd, maar als gezien de range zelf niet echt verandert en als ik m'n PPP verlies die info wel goed doorkomt vaak is het (so far) geen echte issue gebleken.

Echter werkt die request vaak maar eenmalig en dan een lange tijd krijg die geen info meer door. Dat ligt eerder aan hoe edpnet configs werken denk ik. M'n range veranderd niet echt dus heb geen echte downtime gekend, zelfs na PPPoE reconnects of power-loss op m'n RB met config loss dus tot gevolg van m'n ranges.

[SpecialK]

Wel, dat is dus het conflicterende he:

Uit Bart zijn EDPnet config blijkt:
edit "wan1"
config ipv6
set ip6-mode pppoe

Terwijl jij DHCPv6 moet gebruiken. En bij mij (Proximus) werkt geen van beide

[GuntherDW]

Ik gebruik geen DHCP aan de WAN zijde voor een adres.
Dit is gewoon voor de prefix te weten te komen voor de LAN zijde om het juiste uit te gaan delen op zijn beurt.