V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
simplove
V2EX  ›  宽带症候群

有没有懂 Fortigate 防火墙 IPV6 配置的大佬帮忙看看

  •  
  •   simplove · 138 天前 · 1288 次点击
    这是一个创建于 138 天前的主题,其中的信息可能已经有所发展或是发生改变。

    防火墙型号是 100F ,WAN1 口接联通光猫( FTTR 拨号模式) IPV6 配置如下:
    Firewall (wan1) # config ipv6

    Firewall (ipv6) # show
    config ipv6
    set ip6-mode dhcp
    set ip6-allowaccess ping
    set dhcp6-prefix-delegation enable
    config dhcp6-iapd-list
    edit 1
    set prefix-hint 2408:8256:5682:e011::/64
    next
    end
    end
    配置为 DHCP ,已经成功获取到 IP 地址 2408:8256:5682:e011:3ac0:eaff:feea:1111/128
    光猫上看到的获取前缀是 2408:8256:5682:e011::/64
    防火墙 LAN 口类型是 VLAN 交换,多个接口成员。
    IPV6 配置如下:
    Firewall (lan) # config ipv6

    Firewall (ipv6) # show
    config ipv6
    set ip6-mode delegated
    set ip6-allowaccess ping
    set ip6-send-adv enable
    set ip6-other-flag enable
    set ip6-delegated-prefix-iaid 1
    set ip6-upstream-interface "wan1"
    set ip6-subnet ::1/64
    config ip6-prefix-list
    edit 2408:8256:5682:e011::/64
    next
    end
    end

    现在的问题是 lan 口死活获取不到公网 IPV6 地址
    irewall # diagnose ipv6 address list | grep lan
    dev=41 devname=lan flag=P scope=253 prefix=64 addr=fe80::3ac0:eaff:feea:37c4 preferred=4294967295 valid=4294967295 cstamp=77496481 tstamp=77496481 dev=41 devname=lan flag=P scope=253 prefix=64 addr=fe80::3ac0:eaff:feea:37c2 preferred=4294967295 valid=4294967295 cstamp=5896116 tstamp=5896116

    在勾选 LAN 口的 SLAAC 之后,电脑可以获取 IPV6 地址,但是不能访问 IPV6 网站,PING 不通 wan1 口的 IPV6 地址。 配置 DHCPV6 自定义 DNS ,也获取不到 IPV6 DNS 地址。

    防火墙配置了 IPV6 的策略:
    Firewall (3) # show
    config firewall policy
    edit 3
    set name "to_IPv6_Intelnet"
    set uuid 0c868e96-545d-51ef-70c8-44665ed87830
    set srcintf "lan"
    set dstintf "to_Interenet"
    set action accept
    set srcaddr6 "all"
    set dstaddr6 "all"
    set schedule "always"
    set service "ALL"
    set utm-status enable
    set ssl-ssh-profile "certificate-inspection" set av-profile "default" set ips-sensor "default" next end

    大佬们可有看是哪里的问题吗
    教程参考的是这个: https://handbook.fortinet.com.cn/IPv6/DHCPv6/DHCPv6-PD.html

    11 条回复    2024-09-04 15:46:40 +08:00
    yuanfa
        1
    yuanfa  
       138 天前
    你直接打飞塔的客服就可以了,他们会给你处理好的.
    BadFox
        2
    BadFox  
       138 天前
    你都买飞塔了,直接找原厂供应商不好吗?
    life90
        3
    life90  
       138 天前   ❤️ 1
    运营商下发的,你不应该设置前缀。set prefix-hint 2408:8256:5682:e011::/64

    除非运营商给你下发的是固定的前缀。否则变动了你岂不是又要改。

    ping 不通 wan 口的 IPv6 ,说明电脑获取的地址并不是运营商下发的。应该是你防火墙下发的。

    你好像没说防火墙能否通过 IPv6 访问 其他地址。也许你第一段都没通。
    yyzh
        4
    yyzh  
       138 天前 via Android
    楼上+1 ipv6 你要想好怎么设置 relay 之类的由终端直接跟光猫拿地址
    simplove
        5
    simplove  
    OP
       138 天前
    @life90 思路很清晰,防火墙可以通过 IPV6 访问其它地址
    execute ping6 www.qq.com
    PING www.qq.com(2408:8756:f50:2::65) 56 data bytes
    64 bytes from 2408:8756:f50:2::65: icmp_seq=1 ttl=54 time=5.09 ms
    64 bytes from 2408:8756:f50:2::65: icmp_seq=2 ttl=54 time=5.41 ms
    64 bytes from 2408:8756:f50:2::65: icmp_seq=3 ttl=54 time=5.25 ms

    我验证了下,电脑获取的地址确实是防火墙分配的
    发了工单,等明天官方来看看吧。
    谢谢
    diskerjtr
        6
    diskerjtr  
       137 天前
    WAN

    config system interface
    edit "wan1"
    config ipv6
    set ip6-mode pppoe
    set ip6-allowaccess ping
    set dhcp6-prefix-delegation enable
    set dhcp6-prefix-hint ::/60
    set autoconf enable
    end
    next
    end




    LAN

    config system interface
    edit "internal"
    config ipv6
    set ip6-mode delegated
    set ip6-allowaccess ping
    set ip6-send-adv enable
    set ip6-manage-flag enable
    set ip6-upstream-interface "wan1"
    set ip6-subnet ::1/64
    set ip6-other-flag enable
    config ip6-delegated-prefix-list
    edit 1
    set upstream-interface "wan1"
    set autonomous-flag enable
    set onlink-flag enable
    set subnet ::/64
    next
    end
    end
    next
    end
    dengkeing
        7
    dengkeing  
       131 天前
    @simplove 官方教你怎么配置的,我在配置 v6 获取的地址时也遇到问题,
    型号 60f ,版本 7 ,
    simplove
        8
    simplove  
    OP
       131 天前
    @dengkeing 官方也搞不定,后来我换移动静态 V6 了,联通 DHCPV6 是有问题。
    oovveeaarr
        9
    oovveeaarr  
       130 天前
    看起来像是光猫拨号,/64 的 IPv6 不能用 slaac 二次下发,只能桥接/NDP Proxy 。
    oovveeaarr
        10
    oovveeaarr  
       130 天前
    * /64 的 IPv6 PD
    dengkeing
        11
    dengkeing  
       111 天前
    @simplove 我是用的电信,电信很离谱,能获取到 v6 的地址,但是拿不到网关地址, 官方确实没啥用,我也提了 case ,就给我发了几个邮件,也没帮我搞定。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5620 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 129ms · UTC 01:36 · PVG 09:36 · LAX 17:36 · JFK 20:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.