FortiGateのFOS6.4以上で接続できることを確認しています。公式設定手順書はFOS7.2のものとなっているとおりFシリーズはもちろん対応しています。従来のEシリーズもFOS6.4以上の場合設定して利用できます。弊社ではFortiGate 60E で確認しておりIPv4のスピードテストでもフレッツネクスト隼回線で上下500Mbps程度の、RTX830と同程度の速度が得られており実用的です。その後FortiGate 60Fと200FをFOS7.4でも接続確認しました。下位モデルのFortiGate 50EはFOS6.2までのためトンネル設定で「config system vne-tunnel」の機能がなくこの手順では設定できません。
WebGUIでIPoE系の接続設定はありませんので、すべてコンソールから行います。
フレッツのIPoE回線にはFortiGate社の公式手順書はRA方式で対応しています。弊社の実機検証でもDHCP-pdには対応していないと考えておりますので、FortiGateにはRA方式で接続できるように回線構成を組んでください。
具体的には以下の環境で接続できることを確認しています。一つ注意いただく点として光クロス回線はひかり電話契約がなくてもDHCP-pd方式になっていますのでHGW(ホームゲートウェイ)をあいだにはさんでRA方式に変換させるために光クロス回線は必ずHGWをレンタル契約が必要です。
・フレッツ光ネクスト ファミリーとビジネス ひかり電話契約なし回線 : ONU>FortiGate直結
・フレッツ光ネクスト ファミリーとビジネス ひかり電話契約あり回線 : ONU>HGW>FortiGate
・フレッツ光クロス(10G) ひかり電話契約ありなし回線とも : ONU>HGW>FortiGate
回線にクロスパスのIPv6を開通させてください。
回線IDとアクセスキーを用意して、ルータの型番とともにびわこインターネットにお申し込みください。回線IDとアクセスキーは、フレッツ光ネクストの開通時に封筒でご自宅に届いている書類をご覧ください。 お手元に見当たらない場合はNTT116番にお電話して回線IDとアクセスキーの再送を依頼します。(手元に書類がない場合でも回線お名義と設置場所ご住所から開通することもできます。)
弊社で登録処理をすると、回線でクロスパスのIPv6が開通します。
回線にFortiGateのWAN1ポートを接続します。
光ネクストではひかり電話契約がない時はONUに、ひかり電話契約があるときはホームゲートウェイのLAN側ポートに。光クロス(10G)ではひかり電話契約のありなしにかかわらずホームゲートウェイのLAN側ポートに、FortiGateのWAN1ポートを接続します。
コンソールから設定します
FortiGateは初期デフォルトでは次のようになっています。初回ログイン時にパスワードを変更するよう案内されます。
IP:192.168.1.99 DHCPサーバ有効
ID/PASS:admin/なし
sshターミナルログインするか、TeraTermなどを使ってシリアルケーブルでログインして、次の内容をそのままコピペします。WebGUIのコンソールでも大丈夫です。
ほぼアルテリアネットワークの公式手順のとおりです。この設定はひかり電話の契約がなくONUにForiGateを直結する場合と、ひかり電話の契約がありホームゲートウェイ配下にFortiGateを接続する場合です。
WAN1 インターフェースの IPv6 の設定
HGWの配下にFortiGateを設置する場合でかつHGWでDHCPv4サーバが有効な場合は以下のとおりset mode staticも設定します。これはデフォルトでset mode dhcpとなっているのでwan1インタフェースがHGWからIPアドレスを受け取ってしまうためです。
弊社で検証中に、HGWに接続した状態でset mode static と入力するときに、DHCPで受け取っていたと思われるIPアドレスが、自動的に set ip 192.168.1.2 255.255.255.0 と追加されてしまいましたので、ここではunset ip も合わせて入力することをおすすめします。 あとでWEB-GUIからwan1インタフェースを確認してIPアドレスが0.0.0.0となっていれば正解です。
config system interface
edit wan1
set mode static
unset ip
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end
トンネルインターフェースの有効化
FOS7.0以上の場合
config system vne-tunnel
set status enable
set interface "wan1"
set mode ds-lite
set ipv4-address 192.168.255.255 255.255.255.255
set br "dgw.xpass.jp"
end
FOS6.4の場合 (FOS6.4は「set mode ds-lite」が選択できませんので「fixed-ip」で設定します。またbrにFQDN名が設定できませんのでgw.xpass.jpのIPv6アドレスを直接指定します※)
config system vne-tunnel
set status enable
set interface wan1
set mode fixed-ip
set ipv4-address 192.168.255.255 255.255.255.255
set br "2001:f60:0:200::1:1"
set update-url http://[::1]
end
※将来dgw.xpass.jpのアドレスが変更されたり、関西と関東で別のIPアドレスになった場合は変更が必要です。
システムが使用するDNSサーバのデフォルトを削除
標準ではFortinet社のDNSが使われますが、NTT網から受け取ったDNSサーバを使用する必要があるので削除します。
config system dns
unset primary
unset secondary
end
必要ならプロキシDNSサーバを有効にします
一般的なブロードバンドルータのように、FortiGate自身をDNSサーバとして社内LANに使用させる場合です。
config system dns-server
edit internal
next
end
DHCPサーバで配布するDNSを指定します
FortiGate自身を使わせたい場合
config system dhcp server
edit 1
set dns-service local
next
end
GoogleDNSを使わせたい場合
config system dhcp server
edit 1
set dns-server1 8.8.8.8
set dns-server1 8.8.4.4
next
end
IPv4ポリシー
config firewall policy
edit 1
set name internal-to-vne.root
set srcintf internal
set dstintf vne.root
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
set tcp-mss-sender 1420
set tcp-mss-receiver 1420
set nat enable
next
end
デフォルトルート
作成したトンネルをデフォルトルートにします。
config route static
edit 1
set device vne.root
next
end
ほか
この例では社内LANにIPv6アドレスを配布しません。ビジネス用途ではセキュリティ面や管理面からIPv6アドレスを使わないことが多いかと思います。アルテリア・ネットワークの公式手順書PDFには、社内LANに配布する追加設定が紹介されていますので、必要な場合は参照してください。
ここまですべてコンソールからコマンドで設定しましたが、GUIで見るとこのように設定されています。機種はFortiGate 60EでFOS6.4です。このあと事業所様にあわせて必要な設定を追加していくことになります。表示を日本語にしたりタイムゾーンを日本に変更すると良いかと思います。
動作確認
IPv6アドレス確認
diagnose ipv6 address list
トンネル確認
diagnose ipv6 ipv6-tunnel list
ping確認
exec ping 8.8.8.8
接続テスト
こちらのページにアクセスして確認していただけます。IPv4アドレスの次の行のホスト名に、****.west.xps.vectant.ne.jp または ****.east.xps.vectant.ne.jp と表示されればOKです。今回FortiGateではIPv6アドレスをPC端末に配布しない設定をしていますので、IPv6アドレスは「接続不可」となっていますが正常な状態です。
ネクスト隼回線でこの程度の速度は出ているようです。
時間を変えてもう一度テストしました。2022/7/21 AM7時頃です。