【NW】IPv6のメモ(要再検証) 
2011, March 5, Saturday, 19:16 - PC, Network
投稿者 @xmms
今色々とIPv6のネットワークをいじっているのですが中々に前途多難です。

その一例で(おそらくどこかの設定が足りていないのだと思いますが)FortigateでのIPv6ルーティングがうまくいっていません。

ネットワーク図




IPについては、どうせ外に出ないネットワークなので…
Googledocs でとりあえずで書いたので分かりづらいかもしれないですがGR20002B+を2台設置し、サブネットを2つ作り、その後 Fortigate300A(OS v4MR2)を置きました。疲れたのでここで「IPv6とは~」と書きませんが、/64がv4で言う/24のようなものです(説明になってない

ISISやOSPFで経路を自動設定してもおもしろいかもしれませんが、この程度の規模なのでStaticでテーブルを追加しtます。

GR1
static 1234:1:1:3::/64 gateway 1:1:1:2::2

GR2
static 1234:1:1:1::/64 gateway 1:1:1:2::1

これで両ルータ間で赤いサブネットから緑のサブネットへの疎通は出来るようになりました。ただし、RA(Router Advertisement)やDHCP6を設定してないのでケーブルを挿しただけではPCにIPv6やデフォルトルートは降ってこないのでマシンごとに route addする必要がありますが。

DHCP6とかの設定はv4の時と殆ど変わらない(RAでManaged flagを1にしないとDHCP6の設定を流してくれないくらい)ので一度わかれば難しくはないのですが、緑のサブネットはv4でのメインサブネットなので気がついたら変なIPが振られてたというのはいやなので…。

そして赤いサブネットに1234:1:1:1::3と言うホスト(BackTrack 4 R2)を設置してHTTPなりTelnetが通ることを確認します。
BackTrack(Debian)では
modprobe ipv6

を実行した後
ifconfig eth0 inet6 add 1234:1:1:1::3/64

と設定し、
route -A inet6 add 1234:1:1:3::/64 gw 1234:1:1:1::1

とするとネットワークが通じるようになりました。




参考スクリプト

しかし、Ubuntu 9.04だとルーティングテーブルを追加しようとすると
root@Server:/# route -A inet6 add 1234:1:1:1::/64 gw 1234:1:1:3::1
SIOCADDRT: Invalid argument

と言われてしまいます。何が原因なんですかね?
探してみると結構同じ問題にあたっている人がいるみたいなのですが回答にたどり着けませんでした。RAからGWを流し込む方法であればいけたのですが…。
まあ上のマシンは実はこのWeb鯖なのであんまりゴリゴリいじりたくないので、そのうち仮想環境なり実験マシンなりで検証してみます。

そして緑<->赤の疎通が出来たらメインサブネットのFG300AにIPv6アドレスを振って実験してみます。
FGでv6を有効にするにはコンソールから直に

#config sysytem global
(global) # set gui-ipv6 enable


と実行するかwebUIから辿っていくとGUI上でv6の設定が出来るようになるので幾分か楽になります。最初はv6関係はCLIから設定するしかないと思っていたのですがGUI持っていたんですね…




ただ、FortiOSv3とv4で少しIPv6の扱いが違います。FOv4だとWebUIからインターフェースにv6アドレスを振れるうえにHTTPアクセスもv6アドレスでいけるのですが、FOv3だとインターフェースのv6アドレスはCLIから振る必要があるうえ、Pingの応答のみです。




FWとしては、FOv3でもIPv6用policyは設定できます。




この状態でFG300Aが1234:1:1:1::/64にアクセスするには同一サブネット上にあるGRの1234:1:1:3::1を通っていく必要があるのでStaticRouteでそれを追加します




が、ここでテーブルを追加しても何故かFGからPingを撃つと

FG300A # execute ping6 1234:1:1:1::1
connect: Network is unreachable


と言われて到達できず。ルーティングを確認するためにコンソールに入って確認するも

FG300A # sho router static6

config router static6
edit 1
set device "port2"
set distance 1
set dst 1234:1:1:1::/64
set gateway 1234:1:1:3::1
set priority 1
next
end

と、正しいように見えるのですが…。どういう事なの…
もちろんポリシーはAll any always Acceptになっています。




ここで試しにFGで違うv6サブネットを作成して(図で言う灰色のサブネット)、緑のサブネットにあるWin7からroute add 2:1:1:1::/64 1234:1:1:3::2をしてFGを抜けていくように設定してみると問題なくルーティングはされるようです。

しばらく試行錯誤してみたのですがうまくいかないのでこの辺で気力が尽きてあきらめました
某ハッカーさんも動作確認してみるといっていたのでそれ待ちです(他人任せ

まあ他にもNAT-PT(NAPTとはちょっと違う)とか色々試してるんですが長くなるのでまた次回に。。。


[ 1 コメント ] ( 4015 回表示 )   |  このエントリーのURL  |  $star_image$star_image$star_image$star_image$star_image ( 3 / 1867 )  |  

<<最初へ <戻る | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 進む> 最後へ>>