FortigateでDS-Lite接続を設定する

FortigateでDS-Lite接続を設定する方法。
確認していないけど、たぶんIPoEとかも同じ手順で設定できると思われる。

DS-Liteとは
DS-Lite(Dual-Stack Lite)は、RFC6333で規定された通信規格で、本機能を利用することにより、IPv6のみの通信環境においてIPv4 over IPv6技術を利用し、IPv4での通信も可能となります。DS-Lite対応の通信機器をご用意いただければ、一台の機器でIPv6/IPv4双方の通信が可能となります。また、通信速度はIPv6ネットワークの通信速度に準じますので、ご利用回線によっては、IPv4 PPPoE接続での通信速度よりもより高速な通信をご利用いただけます。
https://www.iijmio.jp/guide/outline/ipv6/ipv6_access/dslite/

前提条件

下記を満たしていれば設定可能と思われる。

  • インターフェースにIPv6アドレスを設定できること
  • config systemにipv6-tunnelコマンドが存在すること

DHCP-PDに対応するのはFortiOS 5.4からだけど、クライアント側にもIPv6アドレスを配布したいという要件が無ければ、60c等のFortiOS 5.2 でも問題無いと思われる。

構成

f:id:tohirom:20190204221754p:plain
WAN1にONU、LAN1にパソコンを接続する構成。

インターフェースにアドレス設定

なにも設定しないとfe80のリンクローカルアドレスが設定されてしまうので、次の通りWAN1に「2001:444::1/64」を設定する。

IPv6アドレスの確認

アドレス設定した後、再度アドレス設定画面にて付与されたIPv6アドレスを確認する。
ここで確認したアドレスを後のトンネル設定にて指定する。

diagnose ipv6 route list

トンネル設定

SSHで接続して、次のコマンドを実行する。

#config vdon
#edit root
#config system ipv6-tunnel
#edit ip6ip6
#set source 2409:???:??:????:????:feed:????:????
#set destination 2404:8e01::feed:100
#set interface "wan1"
#end
config system ipv6-tunnel
    edit "<適当な名前:後の手順でゲートウェイ名となる>"
        set source <インターフェース画面で確認したアドレス>
        set destination <NTT東西で異なるアドレス:下記参照>
        set interface "<フレッツ光回線の終端装置を接続しているインターフェース>"
    next
end

NTT東日本エリアから接続する場合
2404:8e00::feed:100
2404:8e00::feed:101

NTT西日本エリアから接続する場合
2404:8e01::feed:100
2404:8e01::feed:101

ルーティング設定

スタティックルートの設定画面でデフォルトゲートウェイとして、前の手順で作成したトンネルインターフェースを指定する。

ポリシー設定

***からip6ip6へ通信許可のポリシーを追加する。
NATは有効にする。

MSS設定(追記)

MSS設定が必要のようです、FortiGateでDS-Lite(IPv4 over IPv6)を設定。楽天ひかりで快適インターネット。を参照して設定を行ってください。