Ja wir können das Interface tracen da wir keine Informationen bekommen konnten auf was wir das interface stellen müssen haben wir es testweise auf DHCP gestellt:

[info]client6_mainloop() msg received, sock =11
[debug]client6_recv() receive advertise from fe80::20f:c9ff:fe18:31dd%port1 on port1
[debug]dhcp6_get_options() get DHCP option client ID, len 10
[debug] DUID: 00:03:00:01:00:09:0f:09:00:04
[debug]dhcp6_get_options() get DHCP option server ID, len 14
[debug] DUID: 00:01:00:01:19:5f:61:38:00:0f:c9:18:31:dc
[debug]dhcp6_get_options() get DHCP option status code, len 2
[debug] status code: no addresses
[debug]dhcp6_get_options() get DHCP option DNS, len 16
[debug]dhcp6_get_options() get DHCP option domain search list, len 10
[debug]client6_recvadvert() server ID: 00:01:00:01:19:5f:61:38:00:0f:c9:18:31:dc, pref=-1
[debug]dhcp6_check_timer() called
[info]client6_mainloop() timeout=10 sec, cfd=8, kfd=9

Ich bin zugegebenenermaßen selbst überrascht das es in der 1TR112 nicht drinsteht. Wenn ich raten müsste würde ich davon ausgehen dass SLAAC (Stateless Address Auto Configuration) genutzt wird, das ist das Standardverfahren der Prefixzuweisung bei IPv6. Diese Annahme wird auch durch einen Artikel bei heise.de gestützt in dem auf die Spezifikation 1TR187 verwiesen wird, die ihrerseits auf den RFC4862 verweist.

Ich werde heute Abend mal einen Trace auf meiner Fritz!Box zuhause ziehen und berichten was ich sehe. Das gilt dann für einen Magenta Zuhause L-Anschluss. Um welchen Anschlusstyp/Vertragstyp geht es Dir (@Pro-technik) eigentlich?

---

@Pro-technik  schrieb:

Ja wir können das Interface tracen [...]

Was du da angehängt hast ist aber kein Trace sondern ein Auszug aus einem Debug-Log. Kannst Du nicht soetwas wie ein .pcap irgendwo abziehen?

---

@lejupp  schrieb:
Um welchen Anschlusstyp/Vertragstyp geht es Dir (@Pro-technik) eigentlich?

---

---

DeutschlandLAN IP Voice/Data S Premium VDSL 100/50mbit mit statischer IP (im Kundencenter eingestellt).

---

@lejupp  schrieb:

---

@Pro-technik  schrieb:

Ja wir können das Interface tracen [...]

Was du da angehängt hast ist aber kein Trace sondern ein Auszug aus einem Debug-Log. Kannst Du nicht soetwas wie ein .pcap irgendwo abziehen?

---

Ein pppoe kann ich bei fortigate leider nicht so einfach sniffen kann leider nur ein debug log ziehen. Ich hab nochmal ein log vom Verbindungsaufbau gezogen:

PPP recv: LCP Echo_Reply id(1) len(8) [Magic_Number 70bcacbd]
PPP send: PAP Authentication_Request id(3) peerid(len=40, 00XXXXXXXX1@t-online.de)
PPP send: PAP Authentication_Request id(4) peerid(len=40, 00XXXXXXX0001@t-online.de)
PPP send: LCP Echo_Request id(2) len(8) [Magic_Number b4081f86]
[lcp_ha_sync_echo_id:2486] sync echo id 3 to 'all'

PPP recv: LCP Echo_Reply id(2) len(8) [Magic_Number 70bcacbd]
PPP send: PAP Authentication_Request id(5) peerid(len=40, 00XXXXXXX0001@t-online.de)
PPP recv: PAP Authentication_Ack id(5) packet_len=25, message_len=20
Remote message: SRU=30376#SRD=97544#
PPP send: IPCP Configure_Request id(1) [IP_Address 192.168.16.253] [Primary_DNS_IP_Address 0.0.0.0] [Secondary_DNS_IP_Address 0.0.0.0]
PPP send: IPV6CP Configure_Request id(1) [Interface Identifier 02090f09fffe0004]
PPP recv: IPCP Configure_Request id(155) [IP_Address 62.156.244.22]
PPP send: IPCP Configure_Ack id(155) [IP_Address 62.156.244.22]
PPP recv: IPCP Configure_Nak id(1) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17]
PPP send: IPCP Configure_Request id(2) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17]
PPP recv: IPV6CP Configure_Request id(33) [Interface Identifier 020000fffe000000]
PPP send: IPV6CP Configure_Ack id(33) [Interface Identifier 020000fffe000000]
PPP recv: IPCP Configure_Ack id(2) [IP_Address 87.XXX.XXX.XXX] [Primary_DNS_IP_Address 217.0.43.33] [Secondary_DNS_IP_Address 217.0.43.17]
pppoe_read_intf_link_sock()-420: interface=ppp1 event=3
update_interfaces()-439: Update PPPoE interfaces
update_interfaces()-443: Invalidate PPPoE interface port1
update_interfaces()-497: Found PPPoE interface port1
update_interfaces()-580: PPPoE parameters of port1 unchanged.
update_interfaces()-612: enable IPv6 accept ra.
update_interfaces()-618: enable IPv6 autoconf.
update_interfaces()-635: disable IPv6 nd-proxy.
send_vip_arp: vd root master 1 intf wan1 ip 212.110.223.70
send_vip_arp: vd root master 1 intf wan1 ip 212.110.223.70
local  IP address 87.XXX.XXX.XXX
remote IP address 62.156.244.22
primary   DNS address 217.0.43.33
secondary DNS address 217.0.43.17
[ipcp_ha_sync:2542] sync_type=31, to 'all'

PPP recv: IPV6CP Configure_Ack id(1) [Interface Identifier 02090f09fffe0004]
local  LL address fe80::0209:0f09:fffe:0004
remote LL address fe80::0200:00ff:fe00:0000
PPP send: LCP Echo_Request id(3) len(8) [Magic_Number b4081f86]
[lcp_ha_sync_echo_id:2486] sync echo id 4 to 'all'

Danach komme nur noch Meldungen ala:

PPP recv: LCP Echo_Reply id(61) len(8) [Magic_Number 70bcacbd]
PPP send: LCP Echo_Request id(62) len(8) [Magic_Number b4081f86]
[lcp_ha_sync_echo_id:2486] sync echo id 63 to 'all'

FYI, der hier sagt auch dass das 64er Netz für den Router selbst per SLAAC (Router Solicitation / Router Advertisement) kommt. In den Kommentaren dort schreibt User "Ingo" dann, dass er mit seiner FGT 60C durch Konfiguration des WAN-Ports auf "autoconf" eine Adresse beziehen konnte.

selbiges Problem auch bei mir gegeben. Ich musste zudem ein Subinterface mit VLAN 7 Tag anlegen, damit überhaupt pppoe funktioniert. Die IPv6 Adresse wird weder im DHCP, noch als SLAAC zugewiesen und auch nicht auf dem Sub- oder Physical Interface. Ich habe die Digitalisierungsbox angeschlossen und sofort eine IPv6 Adresse auf dem extern Interface erhalten. Jedoch ist das mitschneiden von Paketen auf der DigiBox nicht wirklich aussagekräftig. Die mir zugeweisene IPv6 Adresse auf der Digibox habe ich auf der Fortigate statisch konfiguriert und ist von extern erreichbar. Dennoch ist dies für mich ein Workaround  und keine Lösung.

Grüße

Hallo,

ich würde das gerne auch einrichten für einen Anschluss. Leider funktioniert die Konfiguration an der Fortigate so nicht, es wird keine ipv6 Adresse / Prefix zugewiesen. Ein Unterschied hier ist noch, für das VDSL ist noch ein VLAN-Interface mit der VLAN ID 7 angelegt, damit funktioniert das mit ipv4 wunderbar.
Muss man ipv6 ohne VLAN ID machen oder sollte das so auch funktionieren?

Danke.

Hallo,

ich habe die VLAN-ID im Modem konfiguriert. Wenn du die in der FGT konfiguriert hast, dann solltest du ein weiteres Interface haben (auf das "+" vor wan klicken). Wenn du dann die Konfig von oben auf das Interface beziehst, sollte es eigentlich gehen.

Bitte darauf achten, dass in der GUI die IPv6 Adresse (zumindest bei mir) nicht angezeigt wird - siehe oben. In der CLI wird sie angezeigt:

get router info6 interface

mfg

Hallo,

ja genau so habe ich das ja, weiteres vlan interface an wan1. Da drin ist die ipv4 via pppoe konfiguriert und funktioniert auch.

Bei ipv6 habe ich bisher kein Glück, keine IP auf der Konsole zu sehen. Kann es daran liegen, dass wir von der Telekom statische IPs/Prefixe bekommen?

Bei ipv4 wird die IP ja automatisch zugewiesen trotz statischer IP. 

PS: Ist FortiOS 6.2.8, sollte ja passen.

Danke.

Hallo,

mein Setup oben ist mit einer dynamischen IP. Wie es bei einer festen aussieht, kann ich dir leider nicht sagen, kann gut sein, dass das der Grund für deine Probleme ist.

Grüße

Hallo,

das Problem wird durch einen Bug in einigen von der Telekom eingesetzten Juniper BRAS verursacht.
Das ICMPv6 RA Paket enthät eine eine ungültige Option mit der Source link-layer address 00:00:00:00:00:00 und ist somit nicht RFC konform.

Dadurch sind die Fortigte Geräte nicht in der Lage die Nachricht zu verarbeiten.

Es ist nicht jeder Juniper BRAS betroffen und auch innherhalb einer Stadt kann man auf welche mit verschieden RA treffen.

Schöne Grüße

@nicolas_v Danke für die Info. Gleiches Problem bei 2 Business Leitungen mit fester IP hier. Keine IPv6 wg. leerer Source link-layer address von einem Juniper BRAS. Kann man das irgendwo bei der Telekom einkippen, damit die Firmware des BRAS aktualisiert wird?

Es ist übrigens egal, ob man auf der FortiGate ein VLAN 7 Virtual-Interface verwendet, oder das VLAN-7 tagging im vorgeschalteten Modem macht (das verwenden wir mit Zyxel VMG3006-D70A Modems mit aktueller Firmware 17.39.14.2). Das Problem liegt im BRAS.

Hallo @HiddenFigure,

herzlich willkommen in der Community und vielen Dank für das freundliche Telefonat. 

Ich frage zu der Problematik intern nach und melde mich in der nächsten Woche erneut. 

Lieben Gruß, Melanie B. 

Ich weis nicht welche Juniper BRAS / BNG Hardware bei der Telekom verbaut ist, aber für die Juniper MX 5G Plattform gibt es Firmware Release 18.4R3 mit folgendem Statement in den Release-Notes:

LNS router might send the router-advertisement packet with NULL source link-layer option field. PR1437847 (http://prsearch.juniper.net/PR1437847)

@HiddenFigure  Die Wikipedia sagt Juniper MX960 (BRAS) 😄

Vielleicht kommen wir ja über unsere Vertriebler weiter. Beim Support habe ich es gar nicht erst versucht.

Ich hatte wegen des Problems Kontakt mit dem Technischen Support von Fortinet.

Mit der aktuellen 6.4.8 Firmware ist es nicht möglich eine IP auf dem PPPoe Interface zu bekommen, jedoch eine Route über einen Workaround. Die PD Netze lassen sich dann ohne Probleme nutzen.

Dafür muss man die Konfig wie folgt anpassen:

config system pppoe-interface
  edit "pppoev6"
    set ipv6 enable
    set device "T-ONLINE"
    set username XXXXXXX
    set password XXXXXXX
  next
end

config system interface
  edit "wan"
    set vdom "root"
    set allowaccess ping
    set type physical
    set role wan
  next

  edit "T-ONLINE"
    set vdom "root"
    set allowaccess ping
    set role wan
    set interface "wan"
    set vlanid 7
  next

edit "pppoev6"
  set vdom "root"
  set mode pppoe
  set allowaccess ping
  set type tunnel
  set role wan
  config ipv6
    set ip6-mode static
    set ip6-allowaccess ping
    set ip6-reachable-time 30
    set dhcp6-prefix-delegation enable
    set autoconf enable
  end
  set dns-server-override disable
  set interface "T-ONLINE"
next

PPPoE wird vom WAN oder VLAN7 Interface runter genommen und dann über das "pppoe-interface" konfiguriert.
Durch den Interfacewechsel müssen dann leider auch alle Firewallregeln, IP Pools usw angepasst werden.

Bei der 6.2.x soll oder älteren 6.4.x soll es wohl noch möglich sein zusätzlich zu autoconf eine statische IPv6 auf dem Interface anzulegen. (Das /64 Netz kann ja mit Wireshark aus der RA Nachricht oder dem Telekom Kundencenter ermittelt werden)

Hallo @HiddenFigure,

wie von meiner Kollegin @Melanie B. versprochen, melde ich mich in dieser Woche bei Ihnen, um Ihnen eine Zwischeninfo zu geben. Aktuell liegt uns noch keine abschließende Lösung von der Fachseite vor. Sobald ich neue Infos erhalten habe, melde ich mich umgehend wieder bei Ihnen. Bis dahin bitte ich Sie weiterhin um Geduld.

Beste Grüße

Tanja R.

Hallo @HiddenFigure,

wir haben leider noch keine Rückmeldung von der Fachseite erhalten.

In der kommenden Woche melden wir uns aber wieder bei Ihnen.

Beste Grüße und ein schönes Wochenende wünscht

Louisa G.

Hallo @HiddenFigure,

wie angekündigt, melde ich mich diese Woche bei Ihnen. Meine Kollegin hat intern noch einmal nachgehakt, aber aktuell liegt uns noch keine weitere Info vor. Sie erhalten in der nächsten Woche erneut eine Rückmeldung von uns.

Beste Grüße und ein schönes Wochenende

Tanja R.