光,ADSL対応インターネット プロバイダ。他社インターネット プロバイダからの乗り換えユーザーから高い評価を頂いているプロバイダです。
インターネット接続サービス プロバイダ 光インターネット プロバイダのオープンサーキットHOME インターネット プロバイダ 会社概要 インターネット プロバイダのサイトマップ Bフレッツ、光プレミアム、光ネクスト、フレッツADSLインターネット接続サービス、ホスティングサービスのお問い合わせはまずこちらへ 
IPv4 over IPv6接続コース 一般向け料金表 プロ向け料金表  プロバイダ申込手順  キャンペーン情報

プロバイダのオープンサーキットTOP > インターネット接続 > 各種設定> FortiGate v6Direct/固定IP1接続設定

FortiGate でのv6Direct/固定IP1設定 CLI 利用での設定方法

 下記に、FortiGate-40F / FortiOS Ver6.4.4のデフォルトの設定から、v6Direct/固定IP1の設定をする場合を示します。
(2021/03/19公開、2021/03/20最終更新)

 FortiGateでv6Direct/固定IP1を利用するには

FortiOS Ver6.4.1以降が必要です。

 下記の説明では、FortiGate-40F Ver6.4.4 を使って下設定し、利用可能であることを確認しております。

 下記と同じ手順で設定したい場合には、コマンドラインインターフェース(以下、CLIと表記)で

# execute factoryreset

を実行するなど、工場出荷(デフォルト)の状態とすることで、下記と同じ手順で設定可能です。

 工場出荷の場合のLAN側のIPアドレスは、「192.168.1.99」となります。ブラウザーで

https://192.168.1.99/

にWebGUIアクセスし、adminパスワードを設定して下さい。
 WebGUIで日本語表示、タイムゾーンなどの必要な設定変更はご自身で行って頂き、下記の設定を始めて下さい。
 CLIでのアクセス、設定にはシリアルコンソールか、sshでの接続で行って下さい。

 また、下記はFortiGate-40Fの場合で説明しているので、上位機種では「wan」部分が「wan1」だったり、 「lan」部分が「internal」だったり表記が異なりますので、ご利用のFortiGateにあわせて読みかえて下さい。

 下記は内容の正確性について保証するものでは御座いませんので参考としてご利用下さい。

1)Fortinet社のドキュメントによる設定実施

 FortiGate製造のFortinet社より

「JPNE「v6プラス」固定IPサービス利用時のFortiGate設定ガイド」

という、PDFが公開されているので、こちらに基づき設定することで利用可能です。

 上記PDFは、JPNEの「v6プラス」固定IPサービスページの「設定例」表内の
Fortinet > FortiGate設定ガイド
にリンクがありますのでそちらから入手可能です。

 設定に必要な値については、「オープンサーキット IPoE開通状況のご連絡」メールで通知させて頂いております。
 弊社からの通知の「IPv4 over IPv6設定情報」は下記の書式でご案内しております。

IPv4 over IPv6設定情報

●IPv4アドレス      :[値1]/32
●インターフェースID:[値2]
●BRアドレス        :[値3]

●緊急時経路再設定URL(IPv6アドレス変更が生じたときに利用下さい)
[値4]
[値1]:IPv4アドレス、IPv4アドレスの「/32」より前の値
[値2]:インターフェースIDの値
[値3]:IPv6 BRアドレス値
[値4]:「http」ではじまり、「?」を含むURLでFortiGate設定時の「update-url」の値

 下記説明は上記PDFのVer1.00文書をもとに設定しております。

 FortiGate40Fで設定する場合はドキュメント内の「wan1」部分を「wan」に、 「internal」部分を「lan」に変えて設定して行く必要が有ります。

 また、「update-url」を設定する際、「?」が含まれるため、弊社通知のURLをそのまま貼り付けると「?」が正しく 入力出来ない為、「?」の前までをコピー&ペーストし、「?」のところでPDFで案内の有る通り「CTRL+v」を押した後、 「?」を入力し、その後、「?」以降の部分をコピー&ペーストするなどして正しく設定して下さい。

 再設定URLが正しく設定出来ているかは、「show system vne-tunnel」コマンドを実行して下記[値4]部分のURL内にきちんと「?」が含まれているか確認して下さい。
例)

FortiGate-40F # show system vne-tunnel
config system vne-tunnel
    set status enable
    set interface "wan"
    set mode fixed-ip
    set ipv4-address [値1] 255.255.255.255
    set br [値3]
    set update-url "[値4]"
end

 上記を参考に、Fortinet社のPDFに従った設定を全て終えて下さい。

2)動作に必要な修正、便利にするための修正

 弊社で上記設定をしたところ、一部修正を行わないと動作しない部分がありましたので、こちらでまとめてご案内致します。

 IPv4のグローバルIPへの疎通が出来ない場合には、「wan」設定でIPv4アドレスが邪魔している可能性があります。
 具体的には、「show system interface wan」コマンドを実行した際

FortiGate-40F # show system interface wan
config system interface
    edit "wan"
        set vdom "root"
        set allowaccess ping fgfm
        set type physical
        set role wan
        set snmp-index 1
        config ipv6
            set dhcp6-information-request enable
            set autoconf enable
            set unique-autoconf-addr enable
            set interface-identifier ::[値2]
        end
    next
end

★補足)Fortinet社のPDFでは上記表示において
set ip6-address 240b:1:22:333:1111:2222:3333:4444/128
が表示されていましたが、上記の通りIPv6アドレスの
表示が無くても問題なく動作する様です。
 上記「wan」内に「set mode」行、或いは「set ip」行が有る場合は

unset mode
unset ip

で消して下さい。
 上記の様に「wan」内に「set mode」や「set ip」が残っていると ルータ再起動後、IPv4通信が出来なくなったりしますので必ず消しておいて下さい。
(Fortinet社のPDF内にも該当の行がありません)

 LAN側にIPv4のDNSがDHCPで配布されない問題については、下記を実施することでFortiGateのLAN IPアドレスを配布する様に出来ます。

config system dhcp server
    edit 1
        set dns-service local
    next
end

 最後に、WebGUIからIPv6のfirewall policyが確認出来た方が便利なためWebGUIで表示されるようにしておきます。

config system global
  set gui-ipv6 enable
end
 既にWebGUIでログインしていた場合は、一旦ログアウトして、再度ログインしたときから反映されます。

3)WAN側からのIPv6通信の制限設定

 上記2)の設定でIPv4、IPv6でのインターネット通信が可能になります。
 設定をよくみたところ、IPv6通信についてWAN側からLAN側へも通過する設定になっていて、セキュリティー上は気になる点になります。
 当然インターネット側から宅内機器へのIPv6機器へ直接通信が必要な場合は、問題無いのですが、ほとんどの場合は外部からIPv6で 宅内機器に直接アクセスは必要ないことがほとんどであるため、IPv4 over IPv6通信に必要なIPv6通信のみ許可し、それ以外は遮断する設定を 行っておくのが良いと思われます。

 具体的には、下記の様な設定を行うことで、WAN側からLAN側へのIPv6通信を制限することが可能です。(下記設定をした場合でも、宅内のIPv6アドレスからインターネットへのIPv6通信は問題無く可能です)

●IPv4 over IPv6通信に必要なサービスを定義します。

config firewall service custom
    edit "IP_in_IP"
        set category "Tunneling"
        set protocol IP
        set protocol-number 4
    next
end

●firewall policy を下記の3つとします。

config firewall policy
    edit 1
        set name "LanToJPNE"
        set srcintf "lan"
        set dstintf "vne.root"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set tcp-mss-sender 1420
        set tcp-mss-receiver 1420
        set nat enable
    next
    edit 2
        set name "InternalV6_WAN"
        set srcintf "lan"  ★1
        set dstintf "wan"  ★1
        set srcaddr6 "all"
        set dstaddr6 "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
    edit 3  ★2(edit 3 内の全て)
        set name "IP_in_IP"
        set srcintf "wan"
        set dstintf "lan"
        set srcaddr6 "all"
        set dstaddr6 "all"
        set action accept
        set schedule "always"
        set service "IP_in_IP"
    next
end

★1でWANからLANへのIPv6通信許可の設定を
無い状態にします。
★2の部分で、IPv4 over IPv6に必要なサービスだけ
WANから受付可能にします。
 上記設定の「★1」と「★2」についてはWebGUIで見ると下記の様になります。

v6Direct  FortiGate Firewall policy

 インターネット側からのIPv6通信を許可したい場合は、別途、必要なサービスやIPに対して個別に通過設定して行くことをお勧めします。

 ここまでで問題無ければFortiGateの再起動を行い、下記の最終動作確認を行って下さい。

4)インターネット通信確認

 上記FortiGate、PC側の再起動が終わった後、「IPv6インターネット接続確認」ページ記載の接続テストを行って下さい。
 該当試験を実施した結果として

結果 :OK:●●●でv6プラスを利用....」
となり、IPv4アドレスの行の最後は「v6プラス固定IP」表示、

試験1-4迄がOK
NTT東日本の場合、試験5-6がOK
NTT西日本の場合、試験7-8がOK
試験10(v6プラスのインターネットアクセス(v6プラス用))がOK

となれば正常です。

 今後設定変更などして、問題が起きた場合に復旧可能に出来るよう、設定ファイルはバックアップしておく事をお勧め致します。

 動作確認が出来ましたら、IPoEによるネイティブIPv6通信と、IPv4のIPv6トンネルを利用した、プロバイダへ直結した快適なインターネットをご利用下さい。

5)参考情報

 FortiGateではSSL-VPNを使い、リモートアクセス環境を比較的簡単に構築できます。
 上記設定後を想定した

E-mailを利用したOTPによるSSL-VPN接続テレワーク/リモートアクセス設定

をまとめましたので参考として下さい。

ページトップへ




一般第二種電気通信事業
F-10-281


速度改善コース↓


速度を快適に、v6Neo/v6Direct