‎Keine Zuweisung von IPv6 Adresse bei Fortigate

Telekom Business Community

Telekom hilft Community

Business customers

Telekom Shops

Contact

Solved

Keine Zuweisung von IPv6 Adresse bei Fortigate

6 years ago

Hallo,

wir haben kürzlich einen DeutschlandLAN IP Voice/Data S Premium bereitgestellt bekommen. Als Modem nutzen wir ein

Allnet ALL-BM100VDSL2V und als Router die sich per PPPoE einwählt eine Fortigate 200E.
IPv4 seitig funktioniert alles einweinadfrei, jedoch bekommen wir keine IPv6 Adresse zugewiesen. Zwar bekommen wir ein prefix delegiert (welches auch im Kundencenter angezeigt wird) aber der Fortigate selber wird keine Adresse zugewiesen.

die IPv6 config des ports sieht wie folgt aus

 config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
end

Wie gesagt einen Prefix sowie zwei DNS server kriege ich deligiert, jedoch bekommt das Gerät selbst keine IPv6 Adresse zugewiesen.

Die Hotline ist hier leider maßlos überfordert (Haben sie den haken für IPv6 gesetzt; Kann das Gerät Dualstack...) und konnt mir trotz mehrerer Anrufe nicht weiterhelfen.

Möglicherweise hat hier jemand einen Tipp für mich?

10294

6 years ago
Das wäre doch eine Frage, die ich zunächst einmal dem Support von Fortigate stellen würde.
https://www.fortinet.com/support/contact.html
0
1
Answer
from
6 years ago
Mit dem support von Fortigate habe ich schon sehr lange gesprochen und einiges ausprobiert. Der sagt aber (völlig zu recht) die Telekom muss uns sagen welche Optionen wir setzten müssen. Das konnte mir bisher aber noch niemand sagen.
0
Unlogged in user
Answer
from

6 years ago

Könnt Ihr das PPPoE-Interface auf der Fortigate tracen? Schickt der Router ein Router Solicitation? Kommt evtl. sogar ein Router Advertisement zurück, und falls ja, was steht da drin?

Answer

from

6 years ago

Pro-technik

Ja wir können das Interface tracen [...]

Was du da angehängt hast ist aber kein Trace sondern ein Auszug aus einem Debug-Log. Kannst Du nicht soetwas wie ein .pcap irgendwo abziehen?

Answer

from

6 years ago

lejupp

Um welchen Anschlusstyp/Vertragstyp geht es Dir (@Pro-technik) eigentlich?

DeutschlandLAN IP Voice/Data S Premium VDSL 100/50mbit mit statischer IP (im Kundencenter eingestellt).

lejupp

Pro-technik Ja wir können das Interface tracen [...] Ja wir können das Interface tracen [...] Pro-technik Ja wir können das Interface tracen [...] Was du da angehängt hast ist aber kein Trace sondern ein Auszug aus einem Debug-Log. Kannst Du nicht soetwas wie ein .pcap irgendwo abziehen?

Ein pppoe kann ich bei fortigate leider nicht so einfach sniffen kann leider nur ein debug log ziehen. Ich hab nochmal ein log vom Verbindungsaufbau gezogen:

PPP recv: LCP Echo_Reply id(1) len(8) [Magic_Number 70bcacbd]
PPP send: PAP Authentication_Request id(3) peerid(len=40, 00XXXXXXXX1@t-online.de)
PPP send: PAP Authentication_Request id(4) peerid(len=40, 00XXXXXXX0001@t-online.de)
PPP send: LCP Echo_Request id(2) len(8) [Magic_Number b4081f86]
[lcp_ha_sync_echo_id:2486] sync echo id 3 to 'all'

PPP recv: LCP Echo_Reply id(2) len(8) [Magic_Number 70bcacbd]
PPP send: PAP Authentication_Request id(5) peerid(len=40, 00XXXXXXX0001@t-online.de)
PPP recv: PAP Authentication_Ack id(5) packet_len=25, message_len=20
Remote message: SRU=30376#SRD=97544#
PPP send: IPCP Configure_Request id(1) [IP_Address 192.168.16.253] [Primary_DNS_IP_Address 0.0.0.0] [Secondary_DNS_IP_Address 0.0.0.0]
PPP send: IPV6CP Configure_Request id(1) [Interface Identifier 02090f09fffe0004]
PPP recv: IPCP Configure_Request id(155) [IP_Address 62.156.244.22]
PPP send: IPCP Configure_Ack id(155) [IP_Address 62.156.244.22]
PPP recv: IPCP Configure_Nak id(1) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17]
PPP send: IPCP Configure_Request id(2) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17]
PPP recv: IPV6CP Configure_Request id(33) [Interface Identifier 020000fffe000000]
PPP send: IPV6CP Configure_Ack id(33) [Interface Identifier 020000fffe000000]
PPP recv: IPCP Configure_Ack id(2) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17]
pppoe_read_intf_link_sock()-420: interface=ppp1 event=3
update_interfaces()-439: Update PPPoE interfaces
update_interfaces()-443: Invalidate PPPoE interface port1
update_interfaces()-497: Found PPPoE interface port1
update_interfaces()-580: PPPoE parameters of port1 unchanged.
update_interfaces()-612: enable IPv6 accept ra.
update_interfaces()-618: enable IPv6 autoconf.
update_interfaces()-635: disable IPv6 nd-proxy.
send_vip_arp: vd root master 1 intf wan1 ip 212.110.223.70
send_vip_arp: vd root master 1 intf wan1 ip 212.110.223.70
local  IP address 87.XXX.XXX.XXX
remote IP address 62.156.244.22
primary   DNS address 217.0.43.33
secondary DNS address 217.0.43.17
[ipcp_ha_sync:2542] sync_type=31, to 'all'

PPP recv: IPV6CP Configure_Ack id(1) [Interface Identifier 02090f09fffe0004]
local  LL address fe80::0209:0f09:fffe:0004
remote LL address fe80::0200:00ff:fe00:0000
PPP send: LCP Echo_Request id(3) len(8) [Magic_Number b4081f86]
[lcp_ha_sync_echo_id:2486] sync echo id 4 to 'all'

Danach komme nur noch Meldungen ala:

PPP recv: LCP Echo_Reply id(61) len(8) [Magic_Number 70bcacbd]
PPP send: LCP Echo_Request id(62) len(8) [Magic_Number b4081f86]
[lcp_ha_sync_echo_id:2486] sync echo id 63 to 'all'

Answer

from

6 years ago

FYI, der hier sagt auch dass das 64er Netz für den Router selbst per SLAAC (Router Solicitation / Router Advertisement) kommt. In den Kommentaren dort schreibt User "Ingo" dann, dass er mit seiner FGT 60C durch Konfiguration des WAN-Ports auf "autoconf" eine Adresse beziehen konnte.

Unlogged in user

Answer

from

Accepted Solution
accepted by
5 years ago
Hallo @robert.melzer und @Pro-technik,

grundsätzlich ist es so, dass Sie keine IPv6-Adresse von uns bekommen, sondern ein 64 Bit Range als IPv6-Adressen.

Wenn hier eine fremde Hardware eingesetzt wird, dann können wir leider nur an den Hersteller verweisen, auch wenn der Anschluss bei uns im Netz ist.

@robert.melzer ich kann Ihnen anbieten die Einstellungen Ihrer Digibox einmal durch unseren Remote-Service überprüfen zu lassen. Die Kollegen überprüfen dann alles per Fernwartung. Wenn Sie das wünschen, dann hinterlegen Sie bitte Ihre Kundendaten in Ihrem Profil und geben Sie mir Bescheid, wann ich Sie gut telefonisch erreichen kann.

Viele Grüße Martina Ha.
0
0

4 years ago

Hallo,

funktioniert bei mir mit einer 50E / FortiOS 6.2.9 wie folgt:

config system interface
    edit "wan1"
	[...]
        config ipv6
            set ip6-mode pppoe
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set dhcp6-prefix-hint ::/56
            set autoconf enable
        end
    next
    edit "lan"
	[...]
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh snmp
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::1/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                next
            end
        end
    next
end

Achja: IPv6 Adresse wird in der GUI nicht angezeigt (Bug?)

Auf der Konsole gehts so:

FORTI # get router info6 interface
[...]
lan                        [up/up]
    2003:xxxx:yyyy:7900::1
    [..]
ppp1                       [up/up]
    2003:zzzz:xxxx:1a8a:926c:ac64:fffe:c15f
    [..]

Viel Erfolg!

Answer

from

3 years ago

@slemkeich glaube, das Problem gab es in 6.2 noch nicht, das stand irgendwo hier im thread schon meine ich..

Answer

from

3 years ago

@blazeitDas ist nur das Cookbook für 6.2 - die Befehle sind auch für 7.x gültig, gerade getestet. Ich tausche die Tage meine FW zu Hause gegen eine neuere mit 7.x aus - mal sehen, ob ich dann von dem Problem betroffen bin.

Answer

from

3 years ago

@HiddenFigure Bei mir sieht es so aus als habe die Telekom in den letzten Wochen ihre BRAS gepatcht.

Nachts gab es Downtimes und jetzt habe ich v6 Adressen auf den PPPoE Interfaces.

Unlogged in user

Answer

from

Accepted Solution
accepted by
3 years ago
Hallo @HiddenFigure,

jetzt ging es doch ganz fix😊.

Hier kommt die Rückmeldung:

In Absprache mit Fortinet wird eine Konfig in das Endgerät eingespielt, welche die "RA"-Pakete mit der source link layer address "00:00:00:00:00:00" als Firewall-Regel ignoriert.

Danach funktioniert die IPV6-Einwahl wieder.

Die PV für die neue Version 20.2 läuft aktuell, der hier zuständige LNS wird auch aufgenommen damit es hier schon mal gefixt wird (Dies kann aber noch mehrere Wochen dauern).

Lieben Gruß, Melanie B.

0