4
Fortigate FOS40MR3 mit IPv6 routing problem?
Hallo liebe Community,
ich spiele schon seit ein paar Tagen mit meiner Fortigate herum. Hab von unserem Provider einen öffentlichen IPv6 bereich bekommen, aber ich bekomm das routing nicht hin.(also kein sixxx oder HE Tunnel, aber Config anhand:
https://www.sixxs.net/wiki/Fortigate
WAN Gateway (CISCO vom Betreiber): 2001:900:400::1/48
WAN Forti: 2001:900:400::2/64 (ich kann lt. Forti nicht intern und extern /48 nehmen, müssen getrennten netze sein)
Ping von Forti ins Internet, Cisco,.. OK
INTERNAL: 2001:900:400:500:10::254/64
Interner-PC bekommt automatisch IP.. 2001:900:400:500:x:x:x:x/64 (stateless) ..
Ping von Intern auf INTERNAL ok
Ping von Intern auf FortiWAN ok,
Ping von Intern auf CISCO/Internet .. fail.
Die Konfiguration läuft automatisch (stateless?) ab.
Config von der Forti: (hab die IPs etwas abgeändert)
FG80C (internal) # show
config system interface
edit "internal"
set vdom "root"
set ip 10.0.0.254 255.255.0.0
set allowaccess ping https ssh
set type physical
config ipv6
set ip6-address 2001:900:400:500:10::254/64
set ip6-allowaccess ping https ssh
config ip6-prefix-list
edit 2001:900:400:500::/64
set autonomous-flag enable
set onlink-flag enable
set preferred-life-time 3600
next
end
set ip6-send-adv enable
end
next
end
FG80C (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set ip 200.100.100.200 255.255.255.248
set allowaccess https
set type physical
config ipv6
set ip6-address 2001:900:400::2/64
set ip6-allowaccess ping
end
next
end
FG80C (address6) # show
config firewall address6
edit "IPV6-LAN"
set color 2
set ip6 2000:900:400:500::/64
next
edit "ALL"
next
end
FG80C (policy6) # show
config firewall policy6
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "ALL"
set dstaddr "ALL"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
next
edit 2
set srcintf "wan1"
set dstintf "internal"
set srcaddr "ALL"
set dstaddr "ALL"
set action accept
set schedule "always"
set service "PING6"
next
end
Hat jemand noch eine Idee? oder ist das ein Firewall bug?
D a n k e
Markus
ich spiele schon seit ein paar Tagen mit meiner Fortigate herum. Hab von unserem Provider einen öffentlichen IPv6 bereich bekommen, aber ich bekomm das routing nicht hin.(also kein sixxx oder HE Tunnel, aber Config anhand:
https://www.sixxs.net/wiki/Fortigate
WAN Gateway (CISCO vom Betreiber): 2001:900:400::1/48
WAN Forti: 2001:900:400::2/64 (ich kann lt. Forti nicht intern und extern /48 nehmen, müssen getrennten netze sein)
Ping von Forti ins Internet, Cisco,.. OK
INTERNAL: 2001:900:400:500:10::254/64
Interner-PC bekommt automatisch IP.. 2001:900:400:500:x:x:x:x/64 (stateless) ..
Ping von Intern auf INTERNAL ok
Ping von Intern auf FortiWAN ok,
Ping von Intern auf CISCO/Internet .. fail.
Die Konfiguration läuft automatisch (stateless?) ab.
Config von der Forti: (hab die IPs etwas abgeändert)
FG80C (internal) # show
config system interface
edit "internal"
set vdom "root"
set ip 10.0.0.254 255.255.0.0
set allowaccess ping https ssh
set type physical
config ipv6
set ip6-address 2001:900:400:500:10::254/64
set ip6-allowaccess ping https ssh
config ip6-prefix-list
edit 2001:900:400:500::/64
set autonomous-flag enable
set onlink-flag enable
set preferred-life-time 3600
next
end
set ip6-send-adv enable
end
next
end
FG80C (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set ip 200.100.100.200 255.255.255.248
set allowaccess https
set type physical
config ipv6
set ip6-address 2001:900:400::2/64
set ip6-allowaccess ping
end
next
end
FG80C (address6) # show
config firewall address6
edit "IPV6-LAN"
set color 2
set ip6 2000:900:400:500::/64
next
edit "ALL"
next
end
FG80C (policy6) # show
config firewall policy6
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "ALL"
set dstaddr "ALL"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
next
edit 2
set srcintf "wan1"
set dstintf "internal"
set srcaddr "ALL"
set dstaddr "ALL"
set action accept
set schedule "always"
set service "PING6"
next
end
Hat jemand noch eine Idee? oder ist das ein Firewall bug?
D a n k e
Markus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 251014
Url: https://administrator.de/contentid/251014
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo, leider noch immer kein erfolg, 
Als weiteres Testgerät hab ich mir jetzt den Mikrotik Router dazugehängt.
Firewall auf beiden Geräten Hin und Retour ICMPv6 auf Any voll durchgeschalten.
Forti ist config wie oben:
Gateway vom Anbieter CISCO CP: 2001:900:400::1/48 (wird nicht von mir verwaltet)
Forti WAN: 2001:900:400::2/64
MikroTik WAN: 2001:900:400::3/64
Default Route auf beiden Geräten: ::/0 .. GW: 2001:900:400::1 (Cisco)
Ping von den Geräten auf die jeweils anderen WANs und ins Internet OK.
Vom Internet Ping auf die IPs oben OK, auch zugriff auf die Remote Shells.
Forti LAN: 2001:900:400:500:10::254/64
PC im Forti LAN: 2001:900:400:500:10:0:4:113/64 > GW: 2001:900:400:500:10::254
Ping von PC auf Forti LAN OK.
Ping von PC auf Forti WAN OK.
Ping von PC auf MikroTik WAN OK.
Ping von PC auf Cisco WAN .. not OK.
MikroTik LAN: 2001:900:400:501::1/64
PC im MikroTik LAN: 2001:900:400:501::2/64 > GW: 2001:900:400:501::1
gleiche symptomatik.
Hab nun auf beiden Geräten zusätzlich die Routen fürs andere Lan eingetragen:
FortGate: 2001:900:400:501::/64 > GW: 2001:900:400::3
MikroTik: 2001:900:400:500::/64 > GW: 2001:900:400::2
Jetzt kann ich auch die PCs die im LAN sind von den anderen PCs aus pingen.
Bitte um einen Tipp welche Route mir fehlt, sodass ich von den PCs aus ins Internet komme und die dort auch erreichbar sind?
Danke
Als weiteres Testgerät hab ich mir jetzt den Mikrotik Router dazugehängt.
Firewall auf beiden Geräten Hin und Retour ICMPv6 auf Any voll durchgeschalten.
Forti ist config wie oben:
Gateway vom Anbieter CISCO CP: 2001:900:400::1/48 (wird nicht von mir verwaltet)
Forti WAN: 2001:900:400::2/64
MikroTik WAN: 2001:900:400::3/64
Default Route auf beiden Geräten: ::/0 .. GW: 2001:900:400::1 (Cisco)
Ping von den Geräten auf die jeweils anderen WANs und ins Internet OK.
Vom Internet Ping auf die IPs oben OK, auch zugriff auf die Remote Shells.
Forti LAN: 2001:900:400:500:10::254/64
PC im Forti LAN: 2001:900:400:500:10:0:4:113/64 > GW: 2001:900:400:500:10::254
Ping von PC auf Forti LAN OK.
Ping von PC auf Forti WAN OK.
Ping von PC auf MikroTik WAN OK.
Ping von PC auf Cisco WAN .. not OK.
MikroTik LAN: 2001:900:400:501::1/64
PC im MikroTik LAN: 2001:900:400:501::2/64 > GW: 2001:900:400:501::1
gleiche symptomatik.
Hab nun auf beiden Geräten zusätzlich die Routen fürs andere Lan eingetragen:
FortGate: 2001:900:400:501::/64 > GW: 2001:900:400::3
MikroTik: 2001:900:400:500::/64 > GW: 2001:900:400::2
Jetzt kann ich auch die PCs die im LAN sind von den anderen PCs aus pingen.
Bitte um einen Tipp welche Route mir fehlt, sodass ich von den PCs aus ins Internet komme und die dort auch erreichbar sind?
Danke
Man kann bei dir nirgendwo eine v6 Default Route entdecken ?!!
Es fehlt also sowas wie:
!
ipv6 route ::/0 2001:900:400:500:10::1
!
ums jetzt mal mit Cisco Syntax zu sagen. Also die v6 Default Route auf den davorliegenden Router !
Ohne Default Route natürlich kein v6 Internet !
Es fehlt also sowas wie:
!
ipv6 route ::/0 2001:900:400:500:10::1
!
ums jetzt mal mit Cisco Syntax zu sagen. Also die v6 Default Route auf den davorliegenden Router !
Ohne Default Route natürlich kein v6 Internet !
Hallo Aqui, Danke, hat sich inzwischen erledigt.
Default route steht im zweiten Post: Default Route auf beiden Geräten: ::/0 .. GW: 2001:900:400::1 (Cisco)
.. das Problem war jedoch.. der Anbieter hat am Router, warum auch immer, alles defaultmäßig / static (das ganze /48er) Netz auf den 2001:900:400::2 (=Fortigate) geschickt am LAN port.
ipv6 route ::/0 2001:900:400::2
Ich weiß zwar nicht was beim Cisco für eine default Route sein muss, dass das dynamisch geht, aber ich hab einfach die Subnetze am cisco eintragen lassen
also:
2001:900:400:501::/64 > GW: 2001:900:400::3
2001:900:400:500::/64 > GW: 2001:900:400::2
und jetzt klappt es.
Danke.
Default route steht im zweiten Post: Default Route auf beiden Geräten: ::/0 .. GW: 2001:900:400::1 (Cisco)
.. das Problem war jedoch.. der Anbieter hat am Router, warum auch immer, alles defaultmäßig / static (das ganze /48er) Netz auf den 2001:900:400::2 (=Fortigate) geschickt am LAN port.
ipv6 route ::/0 2001:900:400::2
Ich weiß zwar nicht was beim Cisco für eine default Route sein muss, dass das dynamisch geht, aber ich hab einfach die Subnetze am cisco eintragen lassen
also:
2001:900:400:501::/64 > GW: 2001:900:400::3
2001:900:400:500::/64 > GW: 2001:900:400::2
und jetzt klappt es.
Danke.
der Anbieter hat am Router, warum auch immer, alles defaultmäßig / static (das ganze /48er) Netz auf den 2001:900:400::2 (=Fortigate) geschickt am LAN port.
Peinlich für den Anbieter 
Gut wenn nun alles klappt wie es soll !
