- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Keine Zuweisung von IPv6 Adresse bei Fortigate
30.04.2019 09:39
Hallo,
wir haben kürzlich einen DeutschlandLAN IP Voice/Data S Premium bereitgestellt bekommen. Als Modem nutzen wir ein
Allnet ALL-BM100VDSL2V und als Router die sich per PPPoE einwählt eine Fortigate 200E.
IPv4 seitig funktioniert alles einweinadfrei, jedoch bekommen wir keine IPv6 Adresse zugewiesen. Zwar bekommen wir ein prefix delegiert (welches auch im Kundencenter angezeigt wird) aber der Fortigate selber wird keine Adresse zugewiesen.
die IPv6 config des ports sieht wie folgt aus
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set autoconf enable
end
Wie gesagt einen Prefix sowie zwei DNS server kriege ich deligiert, jedoch bekommt das Gerät selbst keine IPv6 Adresse zugewiesen.
Die Hotline ist hier leider maßlos überfordert (Haben sie den haken für IPv6 gesetzt; Kann das Gerät Dualstack...) und konnt mir trotz mehrerer Anrufe nicht weiterhelfen.
Möglicherweise hat hier jemand einen Tipp für mich?
Gelöst! Gehe zu Lösung.
07.04.2022 13:40
Hallo @HiddenFigure,
jetzt ging es doch ganz fix😊.
Hier kommt die Rückmeldung:
In Absprache mit Fortinet wird eine Konfig in das Endgerät eingespielt, welche die "RA"-Pakete mit der source link layer address "00:00:00:00:00:00" als Firewall-Regel ignoriert.
Danach funktioniert die IPV6-Einwahl wieder.
Die PV für die neue Version 20.2 läuft aktuell, der hier zuständige LNS wird auch aufgenommen damit es hier schon mal gefixt wird (Dies kann aber noch mehrere Wochen dauern).
Lieben Gruß, Melanie B.
10.05.2020 09:20
grundsätzlich ist es so, dass Sie keine IPv6-Adresse von uns bekommen, sondern ein 64 Bit Range als IPv6-Adressen.
Wenn hier eine fremde Hardware eingesetzt wird, dann können wir leider nur an den Hersteller verweisen, auch wenn der Anschluss bei uns im Netz ist.
@robert.melzer ich kann Ihnen anbieten die Einstellungen Ihrer Digibox einmal durch unseren Remote-Service überprüfen zu lassen. Die Kollegen überprüfen dann alles per Fernwartung. Wenn Sie das wünschen, dann hinterlegen Sie bitte Ihre Kundendaten in Ihrem Profil und geben Sie mir Bescheid, wann ich Sie gut telefonisch erreichen kann.
Viele Grüße Martina Ha.
30.04.2019 10:11
Das wäre doch eine Frage, die ich zunächst einmal dem Support von Fortigate stellen würde.
30.04.2019 10:19
Könnt Ihr das PPPoE-Interface auf der Fortigate tracen? Schickt der Router ein Router Solicitation? Kommt evtl. sogar ein Router Advertisement zurück, und falls ja, was steht da drin?
30.04.2019 11:20
30.04.2019 11:21 Zuletzt bearbeitet: 30.04.2019 11:22 durch den Autor
Ja wir können das Interface tracen da wir keine Informationen bekommen konnten auf was wir das interface stellen müssen haben wir es testweise auf DHCP gestellt:
[info]client6_mainloop() msg received, sock =11 [debug]client6_recv() receive advertise from fe80::20f:c9ff:fe18:31dd%port1 on port1 [debug]dhcp6_get_options() get DHCP option client ID, len 10 [debug] DUID: 00:03:00:01:00:09:0f:09:00:04 [debug]dhcp6_get_options() get DHCP option server ID, len 14 [debug] DUID: 00:01:00:01:19:5f:61:38:00:0f:c9:18:31:dc [debug]dhcp6_get_options() get DHCP option status code, len 2 [debug] status code: no addresses [debug]dhcp6_get_options() get DHCP option DNS, len 16 [debug]dhcp6_get_options() get DHCP option domain search list, len 10 [debug]client6_recvadvert() server ID: 00:01:00:01:19:5f:61:38:00:0f:c9:18:31:dc, pref=-1 [debug]dhcp6_check_timer() called [info]client6_mainloop() timeout=10 sec, cfd=8, kfd=9
30.04.2019 12:02
Ich bin zugegebenenermaßen selbst überrascht das es in der 1TR112 nicht drinsteht. Wenn ich raten müsste würde ich davon ausgehen dass SLAAC (Stateless Address Auto Configuration) genutzt wird, das ist das Standardverfahren der Prefixzuweisung bei IPv6. Diese Annahme wird auch durch einen Artikel bei heise.de gestützt in dem auf die Spezifikation 1TR187 verwiesen wird, die ihrerseits auf den RFC4862 verweist.
Ich werde heute Abend mal einen Trace auf meiner Fritz!Box zuhause ziehen und berichten was ich sehe. Das gilt dann für einen Magenta Zuhause L-Anschluss. Um welchen Anschlusstyp/Vertragstyp geht es Dir (@Pro-technik) eigentlich?
30.04.2019 12:05
@Pro-technik schrieb:Ja wir können das Interface tracen [...]
Was du da angehängt hast ist aber kein Trace sondern ein Auszug aus einem Debug-Log. Kannst Du nicht soetwas wie ein .pcap irgendwo abziehen?
30.04.2019 12:36
@lejupp schrieb:
Um welchen Anschlusstyp/Vertragstyp geht es Dir (@Pro-technik) eigentlich?
DeutschlandLAN IP Voice/Data S Premium VDSL 100/50mbit mit statischer IP (im Kundencenter eingestellt).
@lejupp schrieb:
@Pro-technik schrieb:Ja wir können das Interface tracen [...]
Was du da angehängt hast ist aber kein Trace sondern ein Auszug aus einem Debug-Log. Kannst Du nicht soetwas wie ein .pcap irgendwo abziehen?
Ein pppoe kann ich bei fortigate leider nicht so einfach sniffen kann leider nur ein debug log ziehen. Ich hab nochmal ein log vom Verbindungsaufbau gezogen:
PPP recv: LCP Echo_Reply id(1) len(8) [Magic_Number 70bcacbd] PPP send: PAP Authentication_Request id(3) peerid(len=40, 00XXXXXXXX1@t-online.de) PPP send: PAP Authentication_Request id(4) peerid(len=40, 00XXXXXXX0001@t-online.de) PPP send: LCP Echo_Request id(2) len(8) [Magic_Number b4081f86] [lcp_ha_sync_echo_id:2486] sync echo id 3 to 'all' PPP recv: LCP Echo_Reply id(2) len(8) [Magic_Number 70bcacbd] PPP send: PAP Authentication_Request id(5) peerid(len=40, 00XXXXXXX0001@t-online.de) PPP recv: PAP Authentication_Ack id(5) packet_len=25, message_len=20 Remote message: SRU=30376#SRD=97544# PPP send: IPCP Configure_Request id(1) [IP_Address 192.168.16.253] [Primary_DNS_IP_Address 0.0.0.0] [Secondary_DNS_IP_Address 0.0.0.0] PPP send: IPV6CP Configure_Request id(1) [Interface Identifier 02090f09fffe0004] PPP recv: IPCP Configure_Request id(155) [IP_Address 62.156.244.22] PPP send: IPCP Configure_Ack id(155) [IP_Address 62.156.244.22] PPP recv: IPCP Configure_Nak id(1) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17] PPP send: IPCP Configure_Request id(2) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17] PPP recv: IPV6CP Configure_Request id(33) [Interface Identifier 020000fffe000000] PPP send: IPV6CP Configure_Ack id(33) [Interface Identifier 020000fffe000000] PPP recv: IPCP Configure_Ack id(2) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17] pppoe_read_intf_link_sock()-420: interface=ppp1 event=3 update_interfaces()-439: Update PPPoE interfaces update_interfaces()-443: Invalidate PPPoE interface port1 update_interfaces()-497: Found PPPoE interface port1 update_interfaces()-580: PPPoE parameters of port1 unchanged. update_interfaces()-612: enable IPv6 accept ra. update_interfaces()-618: enable IPv6 autoconf. update_interfaces()-635: disable IPv6 nd-proxy. send_vip_arp: vd root master 1 intf wan1 ip 212.110.223.70 send_vip_arp: vd root master 1 intf wan1 ip 212.110.223.70 local IP address 87.XXX.XXX.XXX remote IP address 62.156.244.22 primary DNS address 217.0.43.33 secondary DNS address 217.0.43.17 [ipcp_ha_sync:2542] sync_type=31, to 'all' PPP recv: IPV6CP Configure_Ack id(1) [Interface Identifier 02090f09fffe0004] local LL address fe80::0209:0f09:fffe:0004 remote LL address fe80::0200:00ff:fe00:0000 PPP send: LCP Echo_Request id(3) len(8) [Magic_Number b4081f86] [lcp_ha_sync_echo_id:2486] sync echo id 4 to 'all'
Danach komme nur noch Meldungen ala:
PPP recv: LCP Echo_Reply id(61) len(8) [Magic_Number 70bcacbd] PPP send: LCP Echo_Request id(62) len(8) [Magic_Number b4081f86] [lcp_ha_sync_echo_id:2486] sync echo id 63 to 'all'
30.04.2019 16:43
FYI, der hier sagt auch dass das 64er Netz für den Router selbst per SLAAC (Router Solicitation / Router Advertisement) kommt. In den Kommentaren dort schreibt User "Ingo" dann, dass er mit seiner FGT 60C durch Konfiguration des WAN-Ports auf "autoconf" eine Adresse beziehen konnte.
07.05.2020 08:38
selbiges Problem auch bei mir gegeben. Ich musste zudem ein Subinterface mit VLAN 7 Tag anlegen, damit überhaupt pppoe funktioniert. Die IPv6 Adresse wird weder im DHCP, noch als SLAAC zugewiesen und auch nicht auf dem Sub- oder Physical Interface. Ich habe die Digitalisierungsbox angeschlossen und sofort eine IPv6 Adresse auf dem extern Interface erhalten. Jedoch ist das mitschneiden von Paketen auf der DigiBox nicht wirklich aussagekräftig. Die mir zugeweisene IPv6 Adresse auf der Digibox habe ich auf der Fortigate statisch konfiguriert und ist von extern erreichbar. Dennoch ist dies für mich ein Workaround und keine Lösung.
Grüße
07.05.2020 09:32
ich habe die Frage gerade einmal beim zuständigen Fachbereich gestellt, ob und wie wir hier unterstützen können.
Bitte haben Sie noch etwas Geduld. Ich melde mich, sobald ich eine Antwort habe.
Viele Grüße Martina Ha.
10.05.2020 09:20
grundsätzlich ist es so, dass Sie keine IPv6-Adresse von uns bekommen, sondern ein 64 Bit Range als IPv6-Adressen.
Wenn hier eine fremde Hardware eingesetzt wird, dann können wir leider nur an den Hersteller verweisen, auch wenn der Anschluss bei uns im Netz ist.
@robert.melzer ich kann Ihnen anbieten die Einstellungen Ihrer Digibox einmal durch unseren Remote-Service überprüfen zu lassen. Die Kollegen überprüfen dann alles per Fernwartung. Wenn Sie das wünschen, dann hinterlegen Sie bitte Ihre Kundendaten in Ihrem Profil und geben Sie mir Bescheid, wann ich Sie gut telefonisch erreichen kann.
Viele Grüße Martina Ha.
29.07.2021 10:03 Zuletzt bearbeitet: 29.07.2021 10:14 durch den Autor
Hallo,
funktioniert bei mir mit einer 50E / FortiOS 6.2.9 wie folgt:
config system interface
edit "wan1"
[...]
config ipv6
set ip6-mode pppoe
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set dhcp6-prefix-hint ::/56
set autoconf enable
end
next
edit "lan"
[...]
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping https ssh snmp
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-subnet ::1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/64
next
end
end
next
end
Achja: IPv6 Adresse wird in der GUI nicht angezeigt (Bug?)
Auf der Konsole gehts so:
FORTI # get router info6 interface
[...]
lan [up/up]
2003:xxxx:yyyy:7900::1
[..]
ppp1 [up/up]
2003:zzzz:xxxx:1a8a:926c:ac64:fffe:c15f
[..]
Viel Erfolg!
30.11.2021 09:36
Hallo,
ich würde das gerne auch einrichten für einen Anschluss. Leider funktioniert die Konfiguration an der Fortigate so nicht, es wird keine ipv6 Adresse / Prefix zugewiesen. Ein Unterschied hier ist noch, für das VDSL ist noch ein VLAN-Interface mit der VLAN ID 7 angelegt, damit funktioniert das mit ipv4 wunderbar.
Muss man ipv6 ohne VLAN ID machen oder sollte das so auch funktionieren?
Danke.
30.11.2021 09:50
Hallo,
ich habe die VLAN-ID im Modem konfiguriert. Wenn du die in der FGT konfiguriert hast, dann solltest du ein weiteres Interface haben (auf das "+" vor wan klicken). Wenn du dann die Konfig von oben auf das Interface beziehst, sollte es eigentlich gehen.
Bitte darauf achten, dass in der GUI die IPv6 Adresse (zumindest bei mir) nicht angezeigt wird - siehe oben. In der CLI wird sie angezeigt:
get router info6 interface
mfg
30.11.2021 12:42
Hallo,
ja genau so habe ich das ja, weiteres vlan interface an wan1. Da drin ist die ipv4 via pppoe konfiguriert und funktioniert auch.
Bei ipv6 habe ich bisher kein Glück, keine IP auf der Konsole zu sehen. Kann es daran liegen, dass wir von der Telekom statische IPs/Prefixe bekommen?
Bei ipv4 wird die IP ja automatisch zugewiesen trotz statischer IP.
PS: Ist FortiOS 6.2.8, sollte ja passen.
Danke.
30.11.2021 13:42
Hallo,
mein Setup oben ist mit einer dynamischen IP. Wie es bei einer festen aussieht, kann ich dir leider nicht sagen, kann gut sein, dass das der Grund für deine Probleme ist.
Grüße
07.02.2022 19:32
Hallo,
das Problem wird durch einen Bug in einigen von der Telekom eingesetzten Juniper BRAS verursacht.
Das ICMPv6 RA Paket enthät eine eine ungültige Option mit der Source link-layer address 00:00:00:00:00:00 und ist somit nicht RFC konform.
Dadurch sind die Fortigte Geräte nicht in der Lage die Nachricht zu verarbeiten.
Es ist nicht jeder Juniper BRAS betroffen und auch innherhalb einer Stadt kann man auf welche mit verschieden RA treffen.
Schöne Grüße
08.03.2022 15:07
@nicolas_v Danke für die Info. Gleiches Problem bei 2 Business Leitungen mit fester IP hier. Keine IPv6 wg. leerer Source link-layer address von einem Juniper BRAS. Kann man das irgendwo bei der Telekom einkippen, damit die Firmware des BRAS aktualisiert wird?
Es ist übrigens egal, ob man auf der FortiGate ein VLAN 7 Virtual-Interface verwendet, oder das VLAN-7 tagging im vorgeschalteten Modem macht (das verwenden wir mit Zyxel VMG3006-D70A Modems mit aktueller Firmware 17.39.14.2). Das Problem liegt im BRAS.
09.03.2022 14:20
Hallo @HiddenFigure,
herzlich willkommen in der Community und vielen Dank für das freundliche Telefonat.
Ich frage zu der Problematik intern nach und melde mich in der nächsten Woche erneut.
Lieben Gruß, Melanie B.
09.03.2022 15:15
Ich weis nicht welche Juniper BRAS / BNG Hardware bei der Telekom verbaut ist, aber für die Juniper MX 5G Plattform gibt es Firmware Release 18.4R3 mit folgendem Statement in den Release-Notes:
LNS router might send the router-advertisement packet with NULL source link-layer option field. PR1437847 (http://prsearch.juniper.net/PR1437847)
10.03.2022 17:31 Zuletzt bearbeitet: 10.03.2022 17:34 durch den Autor
@HiddenFigure Die Wikipedia sagt Juniper MX960 (BRAS) 😄
Vielleicht kommen wir ja über unsere Vertriebler weiter. Beim Support habe ich es gar nicht erst versucht.
Ich hatte wegen des Problems Kontakt mit dem Technischen Support von Fortinet.
Mit der aktuellen 6.4.8 Firmware ist es nicht möglich eine IP auf dem PPPoe Interface zu bekommen, jedoch eine Route über einen Workaround. Die PD Netze lassen sich dann ohne Probleme nutzen.
Dafür muss man die Konfig wie folgt anpassen:
config system pppoe-interface
edit "pppoev6"
set ipv6 enable
set device "T-ONLINE"
set username XXXXXXX
set password XXXXXXX
next
end
config system interface
edit "wan"
set vdom "root"
set allowaccess ping
set type physical
set role wan
next
edit "T-ONLINE"
set vdom "root"
set allowaccess ping
set role wan
set interface "wan"
set vlanid 7
next
edit "pppoev6"
set vdom "root"
set mode pppoe
set allowaccess ping
set type tunnel
set role wan
config ipv6
set ip6-mode static
set ip6-allowaccess ping
set ip6-reachable-time 30
set dhcp6-prefix-delegation enable
set autoconf enable
end
set dns-server-override disable
set interface "T-ONLINE"
next
PPPoE wird vom WAN oder VLAN7 Interface runter genommen und dann über das "pppoe-interface" konfiguriert.
Durch den Interfacewechsel müssen dann leider auch alle Firewallregeln, IP Pools usw angepasst werden.
Bei der 6.2.x soll oder älteren 6.4.x soll es wohl noch möglich sein zusätzlich zu autoconf eine statische IPv6 auf dem Interface anzulegen. (Das /64 Netz kann ja mit Wireshark aus der RA Nachricht oder dem Telekom Kundencenter ermittelt werden)
16.03.2022 09:45
Hallo @HiddenFigure,
wie von meiner Kollegin @Melanie B. versprochen, melde ich mich in dieser Woche bei Ihnen, um Ihnen eine Zwischeninfo zu geben. Aktuell liegt uns noch keine abschließende Lösung von der Fachseite vor. Sobald ich neue Infos erhalten habe, melde ich mich umgehend wieder bei Ihnen. Bis dahin bitte ich Sie weiterhin um Geduld.
Beste Grüße
Tanja R.
25.03.2022 08:06
Hallo @HiddenFigure,
wir haben leider noch keine Rückmeldung von der Fachseite erhalten.
In der kommenden Woche melden wir uns aber wieder bei Ihnen.
Beste Grüße und ein schönes Wochenende wünscht
Louisa G.
01.04.2022 11:50
Hallo @HiddenFigure,
wie angekündigt, melde ich mich diese Woche bei Ihnen. Meine Kollegin hat intern noch einmal nachgehakt, aber aktuell liegt uns noch keine weitere Info vor. Sie erhalten in der nächsten Woche erneut eine Rückmeldung von uns.
Beste Grüße und ein schönes Wochenende
Tanja R.