O protocolo de Internet versão 6 (IPv6) é a versão mais recente do protocolo IP e foi desenvolvido para resolver limitações do IPv4 com o grande boom da Internet. Enquanto o IPv4 possui um número limitado de endereços disponíveis, que são baseados em 32 bits o IPv6 utiliza endereços com 128 bits.
Dessa forma, o IPv6 possui um número mto maior de IPs disponíveis a serem utilizados. Este tutorial tem o objetivo de mostrar uma das formas de configurar o endereçamento IPv6 no Fortigate tanto em interface dinâmica (Link banda larga PPPoE) quanto interface estática (Link dedicado), você poderá adaptar de acordo com suas configurações de rede.
Habilitando o IPv6 no Fortigate
Para utilizar o IPv6 no Fortigate é necessário primeiramente habilitar nas funções do firewall, por padrão não vem habilitada.
Siga os passos:
- Faça login na interface GUI com um usuário com permissão de administrador;
- No menu de opções no canto esquerdo selecione “System” > ” Feature visibility”;
- Marque “IPv6” e clique em “Apply”
Configurando IPv6 (Link banda larga PPPoE)
Siga o passo a passo abaixo para realizar configuração via CLI na interface WAN, realize os ajustes de acordo com o nome da sua interface:
config system interface
edit <interface WAN>
config ipv6
set ip6-mode pppoe
set dhcp6-prefix-delegation enable
set autoconf enable
set unique-autoconf-addr enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/56 #Verifique com seu ISP qual o CIDR do bloco entregue
next
end
end
Siga o passo a passo abaixo para realizar configuração via CLI na interface LAN, realize os ajustes de acordo com o nome da sua interface:
config system interface
edit <interface LAN>
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-other-flag enable
set ip6-delegated-prefix-iaid 1
set ip6-upstream-interface <Nome interface WAN>
set ip6-subnet ::cafe:1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface <Nome interface WAN>
set delegated-prefix-iaid 1
set subnet ::/64
next
end
end
Configurando IPv6 (Link dedicado)
No caso do link dedicado, normalmente você deverá ter dois prefixos IPv6, um /126 para peering com seu ISP na interface WAN e outro /48 para a entrega de IPs na interface LAN. Este é um cenário fictício e você deve adaptar os IPs de acordo com os blocos de IPv6 que foram designados para o seu circuito de dados.
Exemplo de cenário:
WAN: 2804:1228:8080::8c/126 (Peering entre firewall e o roteador do ISP)
(IP do lado do firewall: 2804:1228:8080::8e | IP do lado do roteador: 2804:1228:8080::8d)
LAN: 2804:1228:4018::/48 (Bloco pra entrega na rede local)
Primeiro crie a rota estática IPv6:
No menu esquerdo de opções selecione Network > Static Route > Create new > IPv6 Static Route > 2804:1228:8080::8d (IP do lado do ISP)
Agora siga o passo a passo abaixo para realizar configuração via CLI na interface WAN, realize os ajustes de acordo com o nome da sua interface:
config system interface
edit <interface WAN>
config ipv6
set ip6-address 2804:1228:8080::8e/126 #IP do lado do firewall
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/126
next
end
end
Siga o passo a passo abaixo para realizar configuração via CLI na interface LAN, realize os ajustes de acordo com o nome da sua interface:
config system interface
edit <interface LAN>
config ipv6
set ip6-address 2804:1228:4018:cafe::1/64
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set ip6-send-adv enable
set ip6-other-flag enable
config ip6-prefix-list
edit 2804:1228:4018:cafe::/64
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface <interface WAN>
set delegated-prefix-iaid 1
set subnet 2804:1228:4018::/64
next
end
config dhcp6-iapd-list
edit 1
set prefix-hint ::/64
next
end
end
Criar firewall policy
Após realizar todos os passos acima agora é a hora de criar política para liberação do tráfego IPv6:
config firewall policy
edit <id>
set name "Internet v6"
set srcintf <interface LAN>
set dstintf <interface WAN>
set action accept
set srcaddr6 "all"
set dstaddr6 "all"
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set logtraffic all
next
end
Verifique os logs
Agora é só checar se os logs estão mostrando o tráfego IPv6, clique no menu de opções Log & Report > Forward Traffic
