FortiOS 5.0.2 with IPv6 DHCP server

會有這篇文章的原因是,似乎,某些情況下….IPv6的自動配置會是有問題的(就是雖然有IP但你還是連不上

所以,我就乾脆來順手弄個DHCP6 Server吧

這邊先說明,等會會直接提到有兩條IPv6 tunnel broker時該怎麼辦….

來吧,首先,你得先從SSH登入FortiOS…(這裡的指令應該都適用於 4.x以上的版本)

不要問為什麼,因為你不會在GUI上找到DHCP6 Server這選項….

以下範例: (這裡教的是當你有兩個IPv6 tunnel broker時的設定法)

config system dhcp6 server
edit 1 ==> 隨意取
set domain “ndfnet.tw” ==> 別照抄阿…
set interface “internal” ==> 你所要啟動服務的介面是那一個
config ip-range ==> DHCP6 server的發放IP range(不過似乎會使用autoconfig的還是會繼續使用…
edit 1 –> 一樣隨意
set end-ip 2001:470:67:42::ff –> 結束IP
set start-ip 2001:470:67:42::ef –> 發放起頭IP(當然,你不應該笨到結束比起頭來的小…
next
end
set lease-time 86400 –> release time
set subnet 2001:470:67:42::/64 –> 這裡很重要,牽涉到你的子網路會不會直接通的關鍵一定要設
set dns-server1 2001:470:67:42::1 –> 這是本站主DNS server,請不要照著用阿…你會連不到的…
set dns-server2 2001:4860:4860::8888 –> 底下兩個是Google DNS server…
set dns-server3 2001:4860:4860::8844
next
edit 2041 –> 以下相同不在贅述,唯一要注意就是,interface不能放在同一個介面上…(這是常識 common sense)
set interface “wifi”
config ip-range
edit 1
set end-ip 2401:e800:100:80a7::ff
set start-ip 2401:e800:100:80a7::ef
next
end
set lease-time 3600
set subnet 2401:e800:100:80a7::/64
set dns-server1 2001:4860:4860::8888
next
end

再來,雖然你設好DHCP6 Server了,但你總要有發放的主機(port)吧….

所以你得要在你剛剛上面設的interface下加一些小東西…(本例以internal為主)

在config ipv6底下敲入底下兩行…

set ip6-manage-flag enable
set ip6-other-flag enable

這樣才能讓internal這個介面對連到他的人進行派發IP的作業….

不過…就像我說的,沒什麼作用…

好啦,其實最重要的真的就是那個 subnet….(也就是其實DHCP6 server是真的有作用的)

有了那個就不需要自己去設定每一台client的gateway…

這算是最輕鬆的地方

再來,就是來講講當你有兩條IPv6 tunnel broker的時候該怎麼辦呢?

1. 你可以使用vdom,但一次只能用一條,所以我不推薦

2. 你可以使用static6 route,推薦使用(而且你也只能使用)

但問題來了…

兩個static6 route都是

::/ sit-tunnel

長這樣呀

是的,聰明如你,應該想到了,這樣一來就會讓底下的網路不知道該走那一條出去….

這時,你會想到policy router這東西

BUT! 這是沒用的!! 別設! DON’T DO POLICY ROUTER!!!

所以你只能用以下兩種方法

a. SET DISTANCE to tell fortiOS what ipv6 tunnel I want to priority use first.
設定距離來告訴FortiOS我要優先使用那一個tunnel

b. SET DESTINATION to tell fortiOS what ipv6 sites I want to connect by using ipv6 tunnel.
設定目的地來告訴FortiOS我要用那一條tunnel去連到那一個ipv6網站….

以上兩種方法,當然,應該有其他方法

但最簡單的是這兩種….請自行參考使用

以我來說,我要連Youtube很順,那自然不能使用ping value很長的tunnel阿!!

所以,我把google的網址通通對應到比較快的tunnel…

嘛,雖說也沒多順啦(萬惡的HINET….)

但至少不會因為現今的菲律賓事件導致連Youtube都看不了好多了-__-

**update**

假如你的Windows Client真的怎樣都有某些網站連不上

不用懷疑,那就是router表在,Windows系統下被做爛了 (疑?

所以請你手動自己加吧…

route add ::/0 gw_device_ipv6_ip

在Android/Linux系統下,都沒這鳥問題-___-

2 thoughts on “FortiOS 5.0.2 with IPv6 DHCP server”

  1. 您好,我設備是Fortigate 92D運行Fortios 6.0.4與Fortios 5.4,在這兩個系統版本都有遇到問題,我設定好IPv6與DHCP6後電腦端無法透過DHCP6取得IPv6的IP,但可以透過slaac取得一組IPv6的IP,若我自行設定IPv6的IP到網路卡後電腦也無法ping到internal gateway,也無法連到外部網路,但是Fortigate上自己ping internal gateway 與 外部網路卻可以成功ping,我的設定如下,可否麻煩幫我看看是哪裡設定錯誤了?
    wan1:
    config system interface
    edit “wan1”
    set vdom “root”
    set ip 211.***.***.*** 255.255.255.0
    set type physical
    set estimated-upstream-bandwidth 40000
    set estimated-downstream-bandwidth 100000
    set role wan
    set snmp-index 1
    config ipv6
    set ip6-address 2001:b030:****:****::1/64
    end
    next
    end

    internal:
    config system interface
    edit “internal”
    set vdom “root”
    set ip 192.168.1.1 255.255.255.0
    set allowaccess ping https ssh http fgfm capwap
    set type hard-switch
    set device-identification enable
    set device-identification-active-scan enable
    set role lan
    set snmp-index 5
    config ipv6
    set ip6-address 2001:b030:2113:a300::1/64
    set ip6-allowaccess ping https ssh http fgfm capwap
    set dhcp6-information-request enable
    set ip6-send-adv enable
    set ip6-other-flag enable
    config ip6-prefix-list
    edit 2001:b030:2113:a300::/64
    set autonomous-flag enable
    set onlink-flag enable
    next
    end
    end
    next
    end

    dhcp6:
    config system dhcp6 server
    edit 1
    set lease-time 86400
    set subnet 2001:b030:2113:a300::/64
    set interface “internal”
    config ip-range
    edit 1
    set start-ip 2001:b030:2113:a300::2
    set end-ip 2001:b030:2113:a300::200
    next
    end
    set dns-server1 2001:b000:168::1
    set dns-server2 2001:b000:168::2
    set dns-server3 2001:4860:4860::8888
    next
    end

    1. Hi, 抱歉最近忙著弄新機器…
      您的問題我看過了,請到防火牆政策那邊設定IPv6的規則喔…
      類似這樣
      然後您再試試看
      config firewall policy6
      edit 1
      set uuid e7ac4218-1bc5-51e8-30b0-ace360bf2f91
      set srcintf “internal”
      set dstintf “wan1”
      set srcaddr “all”
      set dstaddr “all”
      set action accept
      set schedule “always”
      set service “ALL”
      set nat enable
      next
      edit 2
      set uuid 639fc616-5eae-51e9-03d5-1073c847b81e
      set srcintf “internal”
      set dstintf “internal”
      set srcaddr “all”
      set dstaddr “all”
      set action accept
      set schedule “always”
      set service “ALL”
      set logtraffic disable
      next
      end

Comments are closed.