Skip to main content

Heren,

 

Allereerst bedankt voor het kjiken op me Topic.

 

Ik heb van de Zaak een 60F gekregen om te testen met IPTV, maar ik kom er niet helemaal mee uit. Ik was benieuwd of iemand hier ook met een foritigate werkt en ook aan dit probleem loopt. Wellicht kunnen we elkaar helpen!

 

Met vriendelijke groet,
Mirano Verhoef

Ik krijg ook ipv6 niet werkend. Het lijkt erop dat ik gewoonweg geen dhcpv6 ontvang op de wan pppoe interface. Of ik nu set ip6-mode dhcp of set ip6-mode pppoe gebruik, er lijkt weinig binnen te komen, terwijl het op de experiabox wel binnen komt.

Heb je zelf de Fortigate wel zo geconfigureerd dat deze een IPv6 adres toewijst aan de intrfaces/vlans waar je een IPv6 adres actief wilt hebben?

 

Ik heb de volgend config (of dit dus goed is weet ik niet exact), dus ja wel de upstream interface en delegated opgenomen in LAN.

config system interface
edit "wan"
set vdom "root"
set allowaccess ping
set type physical
set monitor-bandwidth enable
set role wan
set snmp-index 1
set dns-server-override disable
set mtu-override enable
set mtu 1514
next
edit "lan"
set vdom "root"
set ip 10.0.0.1 255.255.255.0
set allowaccess ping https ssh snmp fgfm fabric
set type hard-switch
set stp enable
set device-identification enable
set role lan
set snmp-index 5
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-other-flag enable
set ip6-upstream-interface "internet"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::3:0:0:0:1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "internet"
set subnet ::/64
set rdnss-service default
next
end
end
next

edit "internet"
set vdom "root"
set mode pppoe
set allowaccess ping
set alias "vlan6"
set estimated-upstream-bandwidth 1024000
set estimated-downstream-bandwidth 1024000
set role wan
set snmp-index 14
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/48
next
end
end
set username "XX-XX-XX-XX-XX-XX@internet"
set password ENC XXXXXX
set dns-server-override disable
set mtu-override enable
set mtu 1506
set interface "wan"
set vlanid 6
next
end

In veel andere artikelen zie je set ip6-mode dhcp ipv set ip6-mode pppoe maar ook dat maakt niet uit. Het lijkt er dan wel op dat ik wel een IPv6 op mijn LAN ontvang, die zie ik ook terug met ‘diagnose ipv6 address list ‘ echter krijgt de ‘internet’ pppoe interface zelf geen Ipv6 dus en lijkt het uitgaande verkeer dan niet te werken. de fgt zelf kan dan ook niet pingen obv ipv6 en ik zie dus in de address list ook geen ipv6 op de wan interface


Kan jij het stukje config-dhcp6-iapd-list onder "internet" eens vervangen door:

  • set prefix-hint ::/48 of, als dat niet werkt, de prefix die je in MijnKPN terugvindt.
  • set autoconf enable

Prefix in MijnKPN:

 

Waarom heb jij overigens de MTU op 1506 staan?

 

PS. je hoeft de pppoe verbinding ook helemaal geen IPv6 adres te laten krijgen, als je apparatuur maar een IPv6 adres krijgt.

Ook ik wijs op mijn EdgeRouter 4 geen IPv6 adres toe aan de pppoe verbinding.


Kan jij het stukje config-dhcp6-iapd-list onder "internet" eens vervangen door:

  • set prefix-hint ::/48 of, als dat niet werkt, de prefix die je in MijnKPN terugvindt.
  • set autoconf enable

Prefix in MijnKPN:

 

Waarom heb jij overigens de MTU op 1506 staan?

 

PS. je hoeft de pppoe verbinding ook helemaal geen IPv6 adres te laten krijgen, als je apparatuur maar een IPv6 adres krijgt.

Ook ik wijs op mijn EdgeRouter 4 geen IPv6 adres toe aan de pppoe verbinding.

Ik zal het zsm testen.z set autoconf bestaat niet meer sinds fortios7. Ik heb mijn mtu vergroot idd. Op wan is dit 1514 en op vlan6 internet is dit 1506 ivm 8bits overhead op pppoe. Nadeel als je fw zelf geen ipv6 ontvangt ook geen dns forward of of andere ipv6 zaken enzo kan doen. Maargoed ik zal het testen als ik thuis ben ;)


Ik heb mijn mtu vergroot idd. Op wan is dit 1515 en op vlan6 internet is dit 1506 ivm 8bits overhead op pppoe.

De mtu van de pppoe verbinding zou 1500 moeten zijn, die van het vlan 1508 en die van de wan poort 1512.

 

Nadeel als je fw zelf geen ipv6 ontvangt ook geen dns enzo kan doen. 

Daarvoor hoeft de pppoe poort geen IPv6 adres te hebben, het is voldoende om jouw LAN poort een IPv6 adres te geven. En eigenlijk is zelfs dat niet noodzakelijk als je de link local IPv6 adressen gebruikt.


Ik heb mijn mtu vergroot idd. Op wan is dit 1515 en op vlan6 internet is dit 1506 ivm 8bits overhead op pppoe.

De mtu van de pppoe verbinding zou 1500 moeten zijn, die van het vlan 1508 en die van de wan poort 1512.

 

Nadeel als je fw zelf geen ipv6 ontvangt ook geen dns enzo kan doen. 

Daarvoor hoeft de pppoe poort geen IPv6 adres te hebben, het is voldoende om jouw LAN poort een IPv6 adres te geven. En eigenlijk is zelfs dat niet noodzakelijk als je de link local IPv6 adressen gebruikt.

In Fortios 7 is er geen aparte pppoe interface , dit is onderdeel van de vlan interface. Zie mijn config.


Kan jij eens een screenshot posten van de overeenkomstige pagina('s) in de GUI?


@wjb ja als het goed is wel. Het zou erg helpen als iemand een werkende fortios config kan delen, zoals het bij diegene ook daadwerkelijk werkt. Liefst met SLAAC, lan en wan (vlan6) config dus.


Beste mede-hobbyisten,

Ik heb sinds gisteren ook mijn Fortigate in gebruik genomen met mijn KPN 1 Gbit/s verbinding. Mochten er mensen zijn die hulp nodig hebben met de configuratie, laat het vooral weten. Waar ik nu tegen aan loop is het volgende:

Fortigates (maar ook veel andere routers) kunnen doordat het internetverkeer van KPN door een PPPoE-tunnel gaat hun verkeer niet offloaden naar de daarvoor bestemde chips. Daarom doet mijn Forti nu alles via de CPU. Downloaden gaat op 1 core > max 500 mbit/s, uploaden gaat wel op meerdere cores (waarom, geen idee) daar haal ik dus ongeveer 650 mbit/s. Ik kan dus geen gebruik maken van mijn Firewall en een KPN 1Gbit/s verbinding :-(

@Chris_1982 waarschijnlijk ervaar jij dit ook.

Ik vroeg mij af of KPN op dit moment andere opties aanbied naast PPPoE (vermoed van niet), of dit van plan is om in de toekomst aan te gaan bieden. 


Fortigates (maar ook veel andere routers) kunnen doordat het internetverkeer van KPN door een PPPoE-tunnel gaat hun verkeer niet offloaden naar de daarvoor bestemde chips. 

...
Ik vroeg mij af of KPN op dit moment andere opties aanbied naast PPPoE (vermoed van niet), of dit van plan is om in de toekomst aan te gaan bieden. 

Ik verwacht niet dat KPN (snel) van PPPoE af zal stappen.

Er zijn ook routers waarbij hardware offloading wel pppoe ondersteunt.

Zo ondersteunt de EdgeRouter dit wel, uitzonderd IPv6 i.c.m. zowel vlan als pppoe.


Ik verwacht niet dat KPN (snel) van PPPoE af zal stappen.

Er zijn ook routers waarbij hardware offloading wel pppoe ondersteunt.

Zo ondersteunt de EdgeRouter dit wel, uitzonderd IPv6 i.c.m. zowel vlan als pppoe.

 

Zonde, ik ben juist van de EdgeRouter overgestapt op een Fortigate 60E.

In de tussentijd ben ik bezig om een apparaatje te vinden dat PPPoE op één gig kan en ethernet doorzet, en dan het WAN IP wel bij de Forti laat. (Soort PPPoE half bridge). Anders toch wellicht mijn abonnement downgraden of overstappen 😥


Na lang zoeken blijkt het toch zo te zijn dat een aparte pppoe interface in de fortigate de oplossing is voor een werkende ipv6. Vreemd genoeg moet het blijkbaar op deze manier en daar komt ook bij dat de gui dan een zandloper toont op het ophalen van het IP, maar deze wel als prefix beland op de LAN kant en de clients werken ook. dank voor de hulp


Na lang zoeken blijkt het toch zo te zijn dat een aparte pppoe interface in de fortigate de oplossing is voor een werkende ipv6. Vreemd genoeg moet het blijkbaar op deze manier en daar komt ook bij dat de gui dan een zandloper toont op het ophalen van het IP, maar deze wel als prefix beland op de LAN kant en de clients werken ook. dank voor de hulp

Hallo @TechJunky,

 

Begrijp ik uit jouw bericht dat je het uiteindelijk wel aan de praat hebt gekregen? IPv4 werkt prima (gebruikmakende van een aparte PPPoE interface), maar ik krijg IPv6 gewoon niet aan de praat.

 

config system interface
    edit "pppoe"
        set vdom "root"
        set mode pppoe
        set allowaccess ping
        set alias "PPPoE"
        set device-identification enable
        set estimated-upstream-bandwidth 1000000
        set estimated-downstream-bandwidth 1000000
        set monitor-bandwidth enable
        set role wan
        set snmp-index 17
        config ipv6
            set ip6-mode dhcp
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 1
                    set prefix-hint 2a02🔡ef01::/48
                next
            end
        end
        set username "<blablabla>"
        set password ENC <blablabla>
        set dns-server-override disable
        set interface "wan1"
        set vlanid 6
    next
end

 

(Prefix hint e.d. zijn geanonimiseerd)

 

De firewall zelf krijgt in ieder geval geen IPv6 adres en kan ook geen IPv6 adressen pingen

/firewall hostname] # execute ping6 ipv6.google.com
PING ipv6.google.com(2a00:1450:400e:811::200e) 56 data bytes
^C
--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss, time 10039ms

 

Ik kan uit ervaring zeggen dat dit proces een stuk minder pijnlijk is bij concurrent Ziggo. Daar had ik dit zo aan de praat voor al mijn interne VLANs.

 

EDIT: Dit is op een FG60F met de 7.2 branch.

 

Heeft iemand deze casus al eens voorgelegd aan Fortinet zelf? Ik heb een 24x7 support contract van Fortinet zelf op de firewall. Ik zou daar gewoon een ticket bij aan kunnen maken natuurlijk.


Na lang zoeken blijkt het toch zo te zijn dat een aparte pppoe interface in de fortigate de oplossing is voor een werkende ipv6. Vreemd genoeg moet het blijkbaar op deze manier en daar komt ook bij dat de gui dan een zandloper toont op het ophalen van het IP, maar deze wel als prefix beland op de LAN kant en de clients werken ook. dank voor de hulp

Hallo @TechJunky,

 

Begrijp ik uit jouw bericht dat je het uiteindelijk wel aan de praat hebt gekregen? IPv4 werkt prima (gebruikmakende van een aparte PPPoE interface), maar ik krijg IPv6 gewoon niet aan de praat.

 

config system interface
    edit "pppoe"
        set vdom "root"
        set mode pppoe
        set allowaccess ping
        set alias "PPPoE"
        set device-identification enable
        set estimated-upstream-bandwidth 1000000
        set estimated-downstream-bandwidth 1000000
        set monitor-bandwidth enable
        set role wan
        set snmp-index 17
        config ipv6
            set ip6-mode dhcp
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 1
                    set prefix-hint 2a02🔡ef01::/48
                next
            end
        end
        set username "<blablabla>"
        set password ENC <blablabla>
        set dns-server-override disable
        set interface "wan1"
        set vlanid 6
    next
end

 

(Prefix hint e.d. zijn geanonimiseerd)

 

De firewall zelf krijgt in ieder geval geen IPv6 adres en kan ook geen IPv6 adressen pingen

firewall hostname] # execute ping6 ipv6.google.com
PING ipv6.google.com(2a00:1450:400e:811::200e) 56 data bytes
^C
--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss, time 10039ms

 

Ik kan uit ervaring zeggen dat dit proces een stuk minder pijnlijk is bij concurrent Ziggo. Daar had ik dit zo aan de praat voor al mijn interne VLANs.

 

EDIT: Dit is op een FG60F met de 7.2 branch.

 

Heeft iemand deze casus al eens voorgelegd aan Fortinet zelf? Ik heb een 24x7 support contract van Fortinet zelf op de firewall. Ik zou daar gewoon een ticket bij aan kunnen maken natuurlijk.


Ik zou geen vlanid op de pppoe int zetten. Het is een kwestie van pppoe bovenop de vlan6 int aanmaken, user pass en ipv6 delegated . Vervolgens je LAN kant inrichten. 


Ik zou geen vlanid op de pppoe int zetten. Het is een kwestie van pppoe bovenop de vlan6 int aanmaken, user pass en ipv6 delegated .

Is dat niet precies wat @wjjkpn ook doet?


Ik zou geen vlanid op de pppoe int zetten. Het is een kwestie van pppoe bovenop de vlan6 int aanmaken, user pass en ipv6 delegated .

Is dat niet precies wat @wjjkpn ook doet?

Nee want ik zie een “set vlanid 6” op zijn pppoe int

 


Nee want ik zie een “set vlanid 6” op zijn pppoe int

En dat is toch ook precies de bedoeling, daarmee zorg je er toch voor dat de pppoe verbinding via vlan6 opgezet wordt?


Nee want ik zie een “set vlanid 6” op zijn pppoe int

En dat is toch ook precies de bedoeling, daarmee zorg je er toch voor dat de pppoe verbinding via vlan6 opgezet wordt?

Nee , althans niet zoals ik en anderen het werkend hebben. Maak op wan een vlan6 interface en daarbovenop een pppoe int. Op de pppoe zet je vervolgens geen vlanid immers is dit al een child interface van je vlan6.


Nee want ik zie een “set vlanid 6” op zijn pppoe int

En dat is toch ook precies de bedoeling, daarmee zorg je er toch voor dat de pppoe verbinding via vlan6 opgezet wordt?

Nee , althans niet zoals ik en anderen het werkend hebben. Maak op wan een vlan6 interface en daarbovenop een pppoe int. Op de pppoe zet je vervolgens geen vlanid immers is dit al een child interface van je vlan6.

Kan jij jouw configuratie hier dan eens delen?


@TechJunky Ik heb e.e.a. aangepast en de firewall zelf kan nu in ieder geval IPv6 adressen pingen. Ik ga nu proberen om IPv6 werkend te krijgen op alle VLANs die ik heb. Ik zal straks ook even mijn configuratie delen zodat duidelijk is wat ik heb gedaan en hoe het er nu uit ziet.


@wjjkpn @wjb ben nu niet thuis maar zal ik later ff delen


@wjjkpn @wjb ben nu niet thuis maar zal ik later ff delen

Alvast bedankt!

 

Ik had het eerder werkend, maar na een reset lukt het me niet meer. Ongetwijfeld doe ik dus weer iets verkeerd of ben ik weer iets vergeten.

 

Hieronder de configuratie die ik ingevoerd heb in de CLI (dit is op volgorde en direct te copy pasten op FortiOS 7.2.3). Helaas werkt dit dus niet (meer):

config system interface

edit "wan1"
set vdom "root"
set mode dhcp
set allowaccess ping
set type physical
set monitor-bandwidth enable
set role wan
set mtu-override enable
set mtu 1514
next


edit "KPN Glasvezel"
set vdom "root"
set fail-detect enable
set alias "VLAN6 - Internet"
set device-identification enable
set estimated-upstream-bandwidth 1000000
set estimated-downstream-bandwidth 1000000
set monitor-bandwidth enable
set role wan
set preserve-session-route enable
set mtu-override enable
set interface "wan1"
set mtu 1506
set vlanid 6
next
end


config system pppoe-interface
edit "PPPoE Tunnel"
set ipv6 enable
set device "KPN Glasvezel"
set username internet
set password internet
next
end


config system interface
edit "PPPoE Tunnel"
set vdom "root"
set mode pppoe
set type tunnel
set monitor-bandwidth enable
set role wan
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/48
next
end
end
set interface "KPN Glasvezel"
next
end


config router static6
edit 1
set device "PPPoE Tunnel"
end

 

 

execute ping6 ipv6.google.com
PING ipv6.google.com(2a00:1450:4001:828::200e) 56 data bytes

--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss, time 8080ms


Ik weet niet of de router met deze config een subnet prefix probeert aan te vragen maar kpn geeft vanuit het netwerk geen sjoege op prefix delegation requests. De router moet aan de hand van de verkregen public  ipv6 prefix zelf een bound doen op het eerst beschikbare /64. 

Mogelijk valt dit onder manual config.


Het enige dat je van KPN verkrijgt is een /48 IPv6 prefix. Het toewijzen van IPv6 adressen aan interfaces of apparaten is iets dat je zelf moet regelen.

Overigens wijs ik met opzet geen IPv6 adres toe aan de pppoe interface. Dat IPv6 adres zou immers alleen gebruikt worden om services op router zelf te benaderen.


@TechJunky zou je jouw config nog eens kunnen delen?

 

Thanks!


bij deze @wjjkpn 

wel zelf natuurlijk een ipv6 route instellen , ipv6 policies maken. 

config system interface
    edit "wan"
        set vdom "root"
        set allowaccess ping
        set type physical
        set monitor-bandwidth enable
        set role wan
        set snmp-index 1
        set dns-server-override disable
        set mtu-override enable
        set mtu 1514
    next
end


De vlan6 sub interface :


    edit "internet"
        set vdom "root"
        set allowaccess ping
        set alias "vlan6"
        set estimated-upstream-bandwidth 1024000
        set estimated-downstream-bandwidth 1024000
        set role wan
        set snmp-index 14

        config ipv6
          set ip6-allowaccess ping
          set dhcp6-prefix-delegation enable
          set ip6-send-adv enable
          set ip6-manage-flag enable
          set ip6-other-flag enable
          config dhcp6-iapd-list
            edit 1
            next
          end

      end
        set dns-server-override disable
        set mtu-override enable
        set mtu 1506
        set interface "wan"
        set vlanid 6
    next

 

dan de pppoe sub sub interface:

edit "pppoe"
        set vdom "root"
        set mode pppoe
        set allowaccess ping
        set type tunnel
        set estimated-upstream-bandwidth 1024000
        set estimated-downstream-bandwidth 1024000
        set role wan
        set snmp-index 15
        config ipv6
            set ip6-mode dhcp
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 1
                next
            end
        end
        set interface "internet"
    next

 
en de pppoe settings:

config system pppoe-interface
    edit "pppoe"
        set ipv6 enable
        set device "internet"
        set username “blabla@internet"
        set password ENC xxxx. 
    next
end

En de LAN kant:

config system interface
    edit "lan"
        set vdom "root"
        set ip 10.0.0.1 255.255.255.0
        set allowaccess ping https ssh snmp fgfm fabric
        set type hard-switch
        set stp enable
        set device-identification enable
        set role lan
        set snmp-index 5
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-other-flag enable
            set ip6-upstream-interface "pppoe"
            set ip6-delegated-prefix-iaid 1
            set ip6-subnet ::1/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "pppoe"
                    set delegated-prefix-iaid 1
                    set subnet ::/64
                    set rdnss-service delegated
                next
            end
            config dhcp6-iapd-list
                edit 19
                next
            end
        end
    next
end

 

en de dhcp6 server:

config system dhcp6 server
    edit 1
        set rapid-commit enable
        set subnet ::/64
        set interface "lan"
        set upstream-interface "pppoe"
        set delegated-prefix-iaid 1
        set ip-mode delegated
        set dns-server1 2620:fe::fe
    next
end