Ik ben al even aan het sukkelen om IPv6 op een Fortigate firewall met FortiOS 6.4 aan de praat te krijgen.
Ik heb al allerlei combinaties geprobeerd die elk wel "iets" lijken te doen, maar ik krijg het niet end-to-end werkend.
De BBOX3 staat in bridge en de Fortigate bouwt de PPPoE sessie op. Voor IPv4 is er niets te configureren; dat IP wordt gewoon via IPCP aangeleverd zoals dat al ruim 20 jaar gebeurt.
Maar voor IPv6 kan ik kiezen tussen IPv6 geconfigureerd door PPPoE, DHCPv6 of prefix delegation. Dat laatste zal het wel niet zijn, maar kan iemand met 100% zekerheid bevestigen dat het IPv6 adres via PPPoE geconfigureerd wordt, en dus niet via DHCPv6? Als ik dat configureer krijg ik op mijn WAN interface een ULA (beginnend met fd06, wat de range van Proximus is) maar geen prefix op de LAN interface.
Dit is mijn WAN config:
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
Dit is mijn LAN config:
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-upstream-interface "wan1"
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
next
end
Ik heb dit al gevonden
https://forum.fortinet.com/tm.aspx?m=142564
maar dat gaat over een oudere OS-versie en het helpt me niet meteen verder. En hij gebruikt DHCPv6 op zijn WAN, waarmee ik niet eens een adres krijg. Dus enige ervaringen zouden welkom zijn.
IPv6 op Fortigate
-
- Elite Poster
- Berichten: 2749
- Lid geworden op: 29 jan 2004, 10:15
- Uitgedeelde bedankjes: 96 keer
- Bedankt: 244 keer
Vooraleer je start, om zeker te zijn :
a) je hebt werkende ipv6 als je via de bbox3 werkt ? ( ipv6 kan uitgezet worden per login, maar dacht als er een bbox3 aanhangt voor even wordt bij nieuwe klanten de ipv6 activation automatische getriggerd of er moet ooit iemand een block op gezet hebben ).
b) je hebt de ppp uitstaan op je bbox3 ?
a) je hebt werkende ipv6 als je via de bbox3 werkt ? ( ipv6 kan uitgezet worden per login, maar dacht als er een bbox3 aanhangt voor even wordt bij nieuwe klanten de ipv6 activation automatische getriggerd of er moet ooit iemand een block op gezet hebben ).
b) je hebt de ppp uitstaan op je bbox3 ?
-
- Elite Poster
- Berichten: 1671
- Lid geworden op: 22 mei 2013, 09:04
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 145 keer
Ja, inderdaad, ik had gemerkt dat je twee PPPoE sessies tegelijk kan opbouwen (één op de BBOX en één op de Fortigate) maar aangezien de BBOX er gewoon als modem tussen staat heb ik die functionaliteit niet nodig. De Fortigate bouwt de PPPoE sessie op en dat werkt correct, alleen IPv6 werkt niet. En om nu de BBOX een aparte PPPoE sessie te laten opzetten om dan via PD een IP aan de Fortigate te geven, dat vind ik een brug te ver 

Ik ben intussen overgeschakeld op EDPSpecialK schreef: Ik heb dit al gevonden
https://forum.fortinet.com/tm.aspx?m=142564
maar dat gaat over een oudere OS-versie en het helpt me niet meteen verder. En hij gebruikt DHCPv6 op zijn WAN, waarmee ik niet eens een adres krijg. Dus enige ervaringen zouden welkom zijn.

IPv6 werkt hier goed met volgende config in 6.2.4:
Code: Selecteer alles
config system interface
edit "wan1"
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint 2a02:xxx:xxx:xxx::/56
set autoconf enable
end
next
end
config system interface
edit "userlan"
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping https ssh
set dhcp6-prefix-delegation enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-upstream-interface "wan1"
set ip6-subnet ::1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/64
next
end
end
next
end
-
- Elite Poster
- Berichten: 1671
- Lid geworden op: 22 mei 2013, 09:04
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 145 keer
Hoe heb je deze thread zo snel gevonden? 
Bedankt, maar helaas lukt het met jouw config nog steeds niet; ik krijg weer een ULA adres op mijn WAN:
dev=5 devname=wan1 flag= scope=0 prefix=64 addr=fd06:d28c:...
Daarnaast ook een link-local op de wan:
dev=5 devname=wan1 flag=P scope=253 prefix=64 addr=fe80::6d5:...
En een link-local op de ppp1 (vanwaar die ook mag komen)
dev=27 devname=ppp1 flag=P scope=253 prefix=10 addr=fe80::6d5:...
Niks op de LAN-interface.
In diezelfde thread op het Fortinet forum stond iets over iemand die zijn config op nieuw aangemaakte pppoe1 interface gezet had. Zou dat evt zin hebben?

Bedankt, maar helaas lukt het met jouw config nog steeds niet; ik krijg weer een ULA adres op mijn WAN:
dev=5 devname=wan1 flag= scope=0 prefix=64 addr=fd06:d28c:...
Daarnaast ook een link-local op de wan:
dev=5 devname=wan1 flag=P scope=253 prefix=64 addr=fe80::6d5:...
En een link-local op de ppp1 (vanwaar die ook mag komen)
dev=27 devname=ppp1 flag=P scope=253 prefix=10 addr=fe80::6d5:...
Niks op de LAN-interface.
In diezelfde thread op het Fortinet forum stond iets over iemand die zijn config op nieuw aangemaakte pppoe1 interface gezet had. Zou dat evt zin hebben?
-
- Elite Poster
- Berichten: 1671
- Lid geworden op: 22 mei 2013, 09:04
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 145 keer
Ik ben er dus nog steeds niet uit. In de voorbeeldconfigs (die bij mij dus niet werken) zie ik dat er PPPoE gebruikt wordt, terwijl ik PFSense users zie die DHCPv6 gebruiken. Kan iemand bevestigen welk protocol Proximus gebruikt als de modem in bridge staat?
-
- Moderator
- Berichten: 18369
- Lid geworden op: 28 apr 2008, 11:22
- Locatie: Waregem
- Uitgedeelde bedankjes: 1001 keer
- Bedankt: 3720 keer
- Recent bedankt: 26 keer
Als ik een 2de Fritz!Box aansluit achter mijn Fritz!Box VDSL2 modem (met PPPoE passtrough enabled):
- zonder PPPoE krijg ik een /60 prefix uit de /56 range van mijn eerste router (via PD).
- met PPPoE krijg ik een aparte publieke /56 prefix (naast het /64 SLAAC adres op de WAN poort).
VoIP: EDPnet (gratis vaste lijn), Sipgate.de, Sipgate.co.uk, MegaVoip.
Provider: EDPnet Fiber XS (150/50 mbps down/up).
Modem/Router: Fritz!Box 5590 Fiber, OS 8.03, Fritz!SFP GPON aangesloten op Proximus ONTP.
Telefoon centrale: Euracom 181 achter FritzBox So. 3 Fritz!DECT toestellen
TV: Telenet CI+, Fritz!DVB-C.
Provider: EDPnet Fiber XS (150/50 mbps down/up).
Modem/Router: Fritz!Box 5590 Fiber, OS 8.03, Fritz!SFP GPON aangesloten op Proximus ONTP.
Telefoon centrale: Euracom 181 achter FritzBox So. 3 Fritz!DECT toestellen
TV: Telenet CI+, Fritz!DVB-C.
-
- Moderator
- Berichten: 18369
- Lid geworden op: 28 apr 2008, 11:22
- Locatie: Waregem
- Uitgedeelde bedankjes: 1001 keer
- Bedankt: 3720 keer
- Recent bedankt: 26 keer
VoIP: EDPnet (gratis vaste lijn), Sipgate.de, Sipgate.co.uk, MegaVoip.
Provider: EDPnet Fiber XS (150/50 mbps down/up).
Modem/Router: Fritz!Box 5590 Fiber, OS 8.03, Fritz!SFP GPON aangesloten op Proximus ONTP.
Telefoon centrale: Euracom 181 achter FritzBox So. 3 Fritz!DECT toestellen
TV: Telenet CI+, Fritz!DVB-C.
Provider: EDPnet Fiber XS (150/50 mbps down/up).
Modem/Router: Fritz!Box 5590 Fiber, OS 8.03, Fritz!SFP GPON aangesloten op Proximus ONTP.
Telefoon centrale: Euracom 181 achter FritzBox So. 3 Fritz!DECT toestellen
TV: Telenet CI+, Fritz!DVB-C.
-
- Elite Poster
- Berichten: 1671
- Lid geworden op: 22 mei 2013, 09:04
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 145 keer
Daar zie je het natuurlijk niet meteen aan. Ik ben even gaan wiresharken, en ik zie hetvolgende:
No. Time Source Destination Protocol Length Info
21 9.572416 04:d5:90:xx:xx:xx MS-NLB-PhysServer-11_85:18:00 PPP IPV6CP 36 Configuration Request
25 9.578093 MS-NLB-PhysServer-11_85:18:00 04:d5:90:xx:xx:xx PPP IPV6CP 60 Configuration Request
27 9.578409 04:d5:90:xx:xx:xx MS-NLB-PhysServer-11_85:18:00 PPP IPV6CP 36 Configuration Ack
28 10.372560 MS-NLB-PhysServer-11_85:18:00 04:d5:90:xx:xx:xx PPP IPV6CP 60 Configuration Ack
In geen van die pakketten zie ik echter een IPv6 IP in de payload staan. In de PPP IPCP pakketten zie ik dit wel. Dit is het meest relevante IPCP pakket:
Options: (18 bytes), IP Address, Primary DNS Server IP Address, Secondary DNS Server IP Address
IP Address
Type: IP Address (3)
Length: 6
IP Address: 194.78.xxx.xxx
Primary DNS Server IP Address
Type: Primary DNS Server IP Address (129)
Length: 6
Primary DNS Address: 195.238.2.22
Secondary DNS Server IP Address
Type: Secondary DNS Server IP Address (131)
Length: 6
Secondary DNS Address: 195.238.2.21
Iets later in de capture zie ik wel iets anders interessants: een neighbor sollicitation vanuit de Proximus infra die door de Fortigate genegeerd lijkt te worden:
Internet Control Message Protocol v6
Type: Neighbor Solicitation (135)
...
Target Address: 2a02:a018:c0::
Wat wel degelijk de Proximus range is. Waardoor ik dus nog altijd twijfel of het TOCH niet via DHCPv6 moet...
No. Time Source Destination Protocol Length Info
21 9.572416 04:d5:90:xx:xx:xx MS-NLB-PhysServer-11_85:18:00 PPP IPV6CP 36 Configuration Request
25 9.578093 MS-NLB-PhysServer-11_85:18:00 04:d5:90:xx:xx:xx PPP IPV6CP 60 Configuration Request
27 9.578409 04:d5:90:xx:xx:xx MS-NLB-PhysServer-11_85:18:00 PPP IPV6CP 36 Configuration Ack
28 10.372560 MS-NLB-PhysServer-11_85:18:00 04:d5:90:xx:xx:xx PPP IPV6CP 60 Configuration Ack
In geen van die pakketten zie ik echter een IPv6 IP in de payload staan. In de PPP IPCP pakketten zie ik dit wel. Dit is het meest relevante IPCP pakket:
Options: (18 bytes), IP Address, Primary DNS Server IP Address, Secondary DNS Server IP Address
IP Address
Type: IP Address (3)
Length: 6
IP Address: 194.78.xxx.xxx
Primary DNS Server IP Address
Type: Primary DNS Server IP Address (129)
Length: 6
Primary DNS Address: 195.238.2.22
Secondary DNS Server IP Address
Type: Secondary DNS Server IP Address (131)
Length: 6
Secondary DNS Address: 195.238.2.21
Iets later in de capture zie ik wel iets anders interessants: een neighbor sollicitation vanuit de Proximus infra die door de Fortigate genegeerd lijkt te worden:
Internet Control Message Protocol v6
Type: Neighbor Solicitation (135)
...
Target Address: 2a02:a018:c0::
Wat wel degelijk de Proximus range is. Waardoor ik dus nog altijd twijfel of het TOCH niet via DHCPv6 moet...
-
- Elite Poster
- Berichten: 1139
- Lid geworden op: 11 mei 2007, 14:00
- Locatie: zwijndrecht
- Uitgedeelde bedankjes: 11 keer
- Bedankt: 78 keer
- Contacteer:
Ik heb geen Fortigate maar een mikrotik.
Hierbij heb ik bovenop m'n PPPoE conn gewoon een IPv6 DHCP client draaiende, maar dan niet voor een adres, maar dan gewoon request "prefix".
Het werkt niet altijd, maar als gezien de range zelf niet echt verandert en als ik m'n PPP verlies die info wel goed doorkomt vaak is het (so far) geen echte issue gebleken.
Echter werkt die request vaak maar eenmalig en dan een lange tijd krijg die geen info meer door. Dat ligt eerder aan hoe edpnet configs werken denk ik. M'n range veranderd niet echt dus heb geen echte downtime gekend, zelfs na PPPoE reconnects of power-loss op m'n RB met config loss dus tot gevolg van m'n ranges.
Hierbij heb ik bovenop m'n PPPoE conn gewoon een IPv6 DHCP client draaiende, maar dan niet voor een adres, maar dan gewoon request "prefix".
Het werkt niet altijd, maar als gezien de range zelf niet echt verandert en als ik m'n PPP verlies die info wel goed doorkomt vaak is het (so far) geen echte issue gebleken.
Echter werkt die request vaak maar eenmalig en dan een lange tijd krijg die geen info meer door. Dat ligt eerder aan hoe edpnet configs werken denk ik. M'n range veranderd niet echt dus heb geen echte downtime gekend, zelfs na PPPoE reconnects of power-loss op m'n RB met config loss dus tot gevolg van m'n ranges.
-
- Elite Poster
- Berichten: 1671
- Lid geworden op: 22 mei 2013, 09:04
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 145 keer
Wel, dat is dus het conflicterende he:
Uit Bart zijn EDPnet config blijkt:
edit "wan1"
config ipv6
set ip6-mode pppoe
Terwijl jij DHCPv6 moet gebruiken. En bij mij (Proximus) werkt geen van beide
Uit Bart zijn EDPnet config blijkt:
edit "wan1"
config ipv6
set ip6-mode pppoe
Terwijl jij DHCPv6 moet gebruiken. En bij mij (Proximus) werkt geen van beide

-
- Elite Poster
- Berichten: 1139
- Lid geworden op: 11 mei 2007, 14:00
- Locatie: zwijndrecht
- Uitgedeelde bedankjes: 11 keer
- Bedankt: 78 keer
- Contacteer:
Ik gebruik geen DHCP aan de WAN zijde voor een adres.
Dit is gewoon voor de prefix te weten te komen voor de LAN zijde om het juiste uit te gaan delen op zijn beurt.
Dit is gewoon voor de prefix te weten te komen voor de LAN zijde om het juiste uit te gaan delen op zijn beurt.