クロスパス可変IP – FortiGateで接続

FortiGateのFOS6.4以上で接続できることを確認しています。公式設定手順書はFOS7.2のものとなっているとおりFシリーズはもちろん対応しています。従来のEシリーズもFOS6.4以上の場合設定して利用できます。弊社ではFortiGate 60E で確認しておりIPv4のスピードテストでもフレッツネクスト隼回線で上下300〜500Mbps程度の、RTX830と同程度の速度が得られており実用的です。下位モデルのFortiGate 50EはFOS6.2までのためトンネル設定で「config system vne-tunnel」の機能がなくこの手順では設定できません。


WebGUIでIPoE系の接続設定はありませんので、すべてコンソールから行います。

回線にクロスパスのIPv6を開通させてください。

回線IDとアクセスキーを用意して、ルータの型番とともにびわこインターネットにお申し込みください。回線IDとアクセスキーは、フレッツ光ネクストの開通時に封筒でご自宅に届いている書類をご覧ください。 お手元に見当たらない場合はNTT116番にお電話して回線IDとアクセスキーの再送を依頼します。(手元に書類がない場合でも回線お名義と設置場所ご住所から開通することもできます。)

弊社で登録処理をすると、回線でクロスパスのIPv6が開通します。

ONUにFortiGateのWAN1ポートを接続します。

*ひかり電話契約があるときはホームゲートウェイのLANポートに、FortiGateのWAN1ポートを接続してください。

コンソールから設定します

FortiGateは初期デフォルトでは次のようになっています。初回ログイン時にパスワードを変更するよう案内されます。

IP:192.168.1.99 DHCPサーバ有効
ID/PASS:admin/なし

sshターミナルログインするか、TeraTermなどを使ってシリアルケーブルでログインして、次の内容をそのままコピペします。WebGUIのコンソールでも大丈夫です。

ほぼアルテリアネットワークの公式手順のとおりです。この設定はひかり電話の契約がなくONUにForiGateを直結する場合と、ひかり電話の契約がありホームゲートウェイ配下にFortiGateを接続する場合です。

WAN1 インターフェースの IPv6 の設定

HGWの配下にFortiGateを設置する場合でかつHGWでDHCPv4サーバが有効な場合は以下のとおりset mode staticも設定します。これはデフォルトでset mode dhcpとなっているのでwan1インタフェースがHGWからIPアドレスを受け取ってしまうためです。
弊社で検証中に、HGWに接続した状態でset mode static と入力するときに、DHCPで受け取っていたと思われるIPアドレスが、自動的に set ip 192.168.1.2 255.255.255.0 と追加されてしまいましたので、ここではunset ip も合わせて入力することをおすすめします。 あとでWEB-GUIからwan1インタフェースを確認してIPアドレスが0.0.0.0となっていれば正解です。

config system interface
edit wan1
set mode static
unset ip
config ipv6
set dhcp6-information-request enable
set autoconf enable
set unique-autoconf-addr enable
end
next
end

トンネルインターフェースの有効化

FOS7.0以上の場合

config system vne-tunnel
set status enable
set interface "wan1"
set mode ds-lite
set ipv4-address 192.168.255.255 255.255.255.255
set br "dgw.xpass.jp"
end

FOS6.4の場合 (FOS6.4は「set mode ds-lite」が選択できませんので「fixed-ip」で設定します。またbrにFQDN名が設定できませんのでgw.xpass.jpのIPv6アドレスを直接指定します※)

config system vne-tunnel
set status enable
set interface wan1
set mode fixed-ip
set ipv4-address 192.168.255.255 255.255.255.255
set br "2001:f60:0:200::1:1"
set update-url http://[::1]
end

※将来dgw.xpass.jpのアドレスが変更されたり、関西と関東で別のIPアドレスになった場合は変更が必要です。

システムが使用するDNSサーバのデフォルトを削除

標準ではFortinet社のDNSが使われますが、NTT網から受け取ったDNSサーバを使用する必要があるので削除します。

config system dns
unset primary
unset secondary
end

必要ならプロキシDNSサーバを有効にします

一般的なブロードバンドルータのように、FortiGate自身をDNSサーバとして社内LANに使用させる場合です。

config system dns-server
edit internal
next
end

DHCPサーバで配布するDNSを指定します

FortiGate自身を使わせたい場合

config system dhcp server
edit 1
set dns-service local
next
end

GoogleDNSを使わせたい場合

config system dhcp server
edit 1
set dns-server1 8.8.8.8
set dns-server1 8.8.4.4
next
end

IPv4ポリシー

config firewall policy
edit 1
set name internal-to-vne.root
set srcintf internal
set dstintf vne.root
set srcaddr all
set dstaddr all
set action accept
set schedule always
set service ALL
set tcp-mss-sender 1420
set tcp-mss-receiver 1420
set nat enable
next
end

デフォルトルート

作成したトンネルをデフォルトルートにします。

config route static
edit 1
set device vne.root
next
end

ほか

この例では社内LANにIPv6アドレスを配布しません。ビジネス用途ではセキュリティ面や管理面からIPv6アドレスを使わないことが多いかと思います。アルテリア・ネットワークの公式手順書PDFには、社内LANに配布する追加設定が紹介されていますので、必要な場合は参照してください。

ここまですべてコンソールからコマンドで設定しましたが、GUIで見るとこのように設定されています。機種はFortiGate 60EでFOS6.4です。このあと事業所様にあわせて必要な設定を追加していくことになります。表示を日本語にしたりタイムゾーンを日本に変更すると良いかと思います。

動作確認

IPv6アドレス確認
diagnose ipv6 address list
トンネル確認
diagnose ipv6 ipv6-tunnel list
ping確認
exec ping 8.8.8.8

接続テスト

こちらのページにアクセスして確認していただけます。IPv4アドレスの次の行のホスト名に、****.west.xps.vectant.ne.jp または ****.east.xps.vectant.ne.jp と表示されればOKです。今回FortiGateではIPv6アドレスをPC端末に配布しない設定をしていますので、IPv6アドレスは「接続不可」となっていますが正常な状態です。

http://check.xpass.jp/

ネクスト隼回線でこの程度の速度は出ているようです。