Fiber7 mit einer FortiGate Next Generation Firewall

Author: | Posted in Fortinet No comments

Fiber7

Mit Fiber7 bietet der Winterthurer ISP Init7 seit 2014 einen FTTH basierendes Produkt mit einer festen symmetrischen Bandbreite von 1 Gbit/s für jährlich 777.- Fr. an. Fiber7 kommt immer mit native IPv6, welches per DHCPv6 verteilt wird. Optional kann man neben fixen IPv4 und IPv6 Adressen auch SLAs für Business Anschlüsse an.

Die Init7 setzt auf ihren Fiber7 Anschlüssen ausschliesslich auf Ethernet (untagged) mit DHCPv4 und DHCPv6 und bietet eine freie Router Wahl an. Somit kann auf den Fiber7 Anschlüssen problemlos eine Enterprise Firewall von Fortinet eingesetzt werden.

 

Hardware

Um die Bandbreite von 1 GBit/s bewerkstelligen zu können, benötigt man bei den kleineren FortiGate Modellen mindestens ein SOC3 basierendes Gerät. Das kleinste Gerät mit einem SOC3 ist die lüfterlose FortiGate 60E, welche mit einem maximalen Durchsatz von 3 GBit/s ausreichend Bandbreite für einen Fiber7 Anschluss bietet.

Da die FortiGate 60E ausschliesslich über Gigabit Kupfer Ports verfügt, ist ein zusätzlicher Media Converter notwendig. Ein entsprechender Media Converter, wie der TP-Link MC220L kann direkt bei der Init7 mit der entsprechender Optik bezogen werden.

Das nächst grössere Modell, die FortiGate 80E, ist ebenfalls lüfterlos und verfügt über 2 SFP Slots. Die Optik, die man zusammen mit dem Patchkabel von der Init7 beziehen kann, funktioniert tadellos in der FortiGate 80E.

 

Konfiguration

Interfaces

In einem ersten Schritt konfigurieren wir das WAN Interface. Die Init7  benutzt auf ihren Fiber7 standard DHCPv4 und DHCPv6-PD.

config system interface
   edit "wan1"
    set vdom "root"
    set mode dhcp
    set allowaccess ping
    set type physical
    set alias "Fiber7"
    set role wan
    config ipv6
       set ip6-mode dhcp
       set ip6-allowaccess ping
       set dhcp6-prefix-delegation enable
   end
   next
end

 

Als zweiter Schritt muss das LAN Interface konfiguriert werden:

config system interface
   edit "internal1"
   set vdom "root"
   set ip 192.168.0.1 255.255.255.0
   set allowaccess ping https ssh
   set alias "Clients"
   set device-identification enable
   set fortiheartbeat enable
   set role lan
   config ipv6
      set ip6-allowaccess ping https ssh
      set ip6-send-adv enable
      set ip6-subnet ::1/64
      config ip6-delegated-prefix-list
         edit 0
         set upstream-interface "wan1"
         set autonomous-flag enable
         set onlink-flag enable
         set subnet ::/64
         next
      end
   end
   next
end
  • set ip6-mode delegated – Definiert, dass die IP Adresse für dieses Interface über eine IPv6  Prefix Delegation definiert wird
  • set ip6-send-adv enable – Erlaubt das aussenden von Router Advertisements auf diesem Interface
  • set ip6-upstream-interface "wan1" – Definiert von welchem Interface die Prefix Delegation kommt
  • set ip6-subnet ::1/64 – Das Interface soll die erste IP Adresse im /64 Subnet benutzen.

 

Zusätzlich muss mit ip6-delegated-prefix-list eine delegierte prefix liste definiert werden, um die über DHCPv6-PD erhaltenen Adressen zu verteilen. Man kann mehrere definieren, in diesem Beispiel definiere ich jedoch nur eines:

  • set autonomous-flag enable – Erlaubt den Clients ihre eigenen globalen IPv6 Adressen zu konstruieren.
  • set onlink-flag enable – Benutze im Prefix des Router Advertisements “On-Link” Adressen (Details)
  • set subnet ::/64 – Benutze das erste /64 vom /48, welches wir per DHCPv6 erhalten haben.

 

Zum Abschluss benötigen wir noch zwei Firewall Policies, jeweils eine für IPv4 und eine für IPv6:

config firewall policy
   edit 0
      set name "Internet Access IPv4"
      set srcintf "internal1"
      set dstintf "wan1"
      set srcaddr "all"
      set dstaddr "all"
      set action accept
      set schedule "always"
      set nat enable
   next
end

 

config firewall policy6
   edit 0
      set name "Internet Access IPv6"
      set srcintf "internal1"
      set dstintf "wan1"
      set srcaddr "all"
      set dstaddr "all"
      set action accept
      set schedule "always"
   next
end

 

Bezug

Die FortiGate Firewalls können von einem autorisierten Reseller bezogen.

Add Your Comment