Fortigateについて語ろう6

Fortigateについて語ろう6 (160ﾚｽ)
上下前次 1-新

121: 2023/02/07(火)02:41 ID:??? AAS
しないんじゃない？

122: 2023/02/07(火)07:45 ID:??? AAS
>>119
ご回答ありがとうございました！
助かりました！

123: 2023/02/08(水)17:40 ID:??? AAS
ほのぼの

124(3): 2023/02/17(金)22:30 ID:??? AAS
FortiGate 60E (7.2.1)でのIPv6について質問です。

フレッツ光ネクスト回線＋朝日ネットのv6契約にて下記のURLを参考に設定済みで、
Windows10/11、Android12/13は正常に外部とv6通信ができています。
外部ﾘﾝｸ[pdf]:www.fortinet.com

しかしiPhoneXS/SE2およびiPad mini4、macOS12/13だけ（要はApple製品）がv6で外部と通信できません。
v6アドレスおよびv6ゲートウェイアドレス、v6DNSアドレスをRAから取得済みなのに何故かvne-tunnel（v4 over v6）から外部に抜けます。

Apple製品のプライベートWi-FiをOFFにしたりMacbookで有線接続にしても同様でした。

ただ、FortiGateのwan1が取得しているグローバルv6アドレスに一度ping6コマンドを発すると、
その後は外部のv6サーバにping6が疎通するようになりv6のWebサーバなどにもアクセスできるようになります。
（test ipv6サイトでもOK判定になる）
省1

125: 2023/02/18(土)18:49 ID:??? AAS
7.2.4に上げてみてください

126(1): 124 2023/02/19(日)12:11 ID:??? AAS
7.2.4に上げてみたけど全く同じてすね。
FortiGateだとApple製品でv6できてる人いないんじゃないかなこれ。。

同じ環境でRTX1200だと問題無くv6使えるんですが他に色々便利だからFortiGateを使っていきたいなと。

127: 2023/02/19(日)12:32 ID:??? AAS
NDPは有効にしてある？

128: 2023/02/19(日)12:50 ID:??? AAS
してあったらごめんだけどセッションヘルパーで58ポート開けてあげて見てもダメかね？

129: 2023/02/19(日)12:51 ID:??? AAS
ポートじゃないプロトコル

130(1): sage 2023/02/19(日)14:35 ID:zf2HIFvc(1/5) AAS
>>126

私はふつうに使えてますね。
iPhone / iPad / macOS それぞれ最新パッチ当て済

FOS は7.2.4 で、プロバイダは　Asahinet の ipv6 サービス

ちゃんとipv6テストサイトで、safari / Firefox / chrome / edge からipv6アドレスで接続出来ているのを確認できます

IPv6 tunnel はご提示の手順の方法ではありませんが、ipv6 native でアクセスする分には関係ありませんので、関連性はないかと

131(1): 124 2023/02/19(日)16:23 ID:??? AAS
nd-proxyは有効にしてます。
session helperでプロトコル58は有効にしていませんが、設定しようにもポート番号指定が必須なので設定できず。

>>130
おお、もし良ければv6周りのconfigを教えてもらえませんか？
上のPDFで触れられてないものがあるでしょうか。
仰るとおりv6トンネルのds-lite部分は関係無いと思います。

InternalのmacOSやiPhoneからwan1のv6アドレスにping6するとv6ネイティブで外に通るようになるのがまた解せない。。

132: sage 2023/02/19(日)16:58 ID:zf2HIFvc(2/5) AAS
>131

Android や windows で通信できている、およびmacOS 側にもIPv6 アドレスが設定されているってことは、
普通のIPv6 設定は問題ないと思うので、macOSに関連するところなんじゃないかなーと思う。
どのIPを使って通信させるのかを判断するのはクライアントなので。

よくわからない状況だけど、ご要望の資料でしてない設定ということなので、ipv6 の delegated 設定と np proxy です
Nd proxy はしてそうなので(IPが振られているので)。手順書は、ipv6 tunnel を使ってIPv4 通信をさせることが目的だから
この辺の設定はしてないと思う。

ただ、IP振られてるなら通信できても良さそうだなぁとは思います。

蛇足ですがipv6 と ipv4 のポリシーは同じだったら分けたほうがいいと思う。
Ipv4 だとどうしてもNAT が必要になるので、ipv6 native でやりたいならnat 外したポリシーを作ったほうがいいかと思う。
省1

133: sage 2023/02/19(日)16:59 ID:zf2HIFvc(3/5) AAS
（抜粋）
config system interface
edit "wan"
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/60
next
省4

134: sage 2023/02/19(日)16:59 ID:zf2HIFvc(4/5) AAS
config system interface
edit "lan"
config ipv6
set ip6-mode delegated
set dhcp6-information-request enable
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-delegated-prefix-iaid 1
省13

135: sage 2023/02/19(日)16:59 ID:zf2HIFvc(5/5) AAS
参考になれば

136: 124 2023/02/19(日)17:54 ID:??? AAS
ありがとうございます。

v4とv6のFWポリシーは分けてます。

頂いた参考設定ですが、これはひかり電話有りのタイプですかね？
後出しになってしまい恐縮なんですがこちらひかり電話を解約したのでHGWの下のFGはRAでv6アドレスを取得してます。

随分前にwan1でdelegateする設定をしたんですがうまくいきませんでした。
帰ったらリトライしてみます。

137: sage2023/02/19(日) 18:02:28.99 ID:GbKCknDf >>136 はい。光電話タイプです。 2023/12/04(月)14:43 ID:??? AAS
広告ブロックが最高

138: 2023/12/24(日)19:42 ID:??? AAS
FortiOS v7.4.2 build2571

139: 2023/12/26(火)15:51 ID:??? AAS
自動アップデート機能って便利ですか？

140: 2023/12/27(水)01:11 ID:??? AAS
リモートメンテ用に放置されてて侵入されるぐらいなら
自動アップデートがデフォルトでいいよねという
FG社の優しさ

上下前次 1-新書関写板覧索設栞歴

あと 20 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.033s