Fiber7 mit einer FortiGate Next Generation Firewall
Fiber7
Mit Fiber7 bietet der Winterthurer ISP Init7 seit 2014 einen FTTH basierendes Produkt mit einer festen symmetrischen Bandbreite von 1 Gbit/s für jährlich 777.- Fr. an. Fiber7 kommt immer mit native IPv6, welches per DHCPv6 verteilt wird. Optional kann man neben fixen IPv4 und IPv6 Adressen auch SLAs für Business Anschlüsse an.
Die Init7 setzt auf ihren Fiber7 Anschlüssen ausschliesslich auf Ethernet (untagged) mit DHCPv4 und DHCPv6 und bietet eine freie Router Wahl an. Somit kann auf den Fiber7 Anschlüssen problemlos eine Enterprise Firewall von Fortinet eingesetzt werden.
Hardware
Um die Bandbreite von 1 GBit/s bewerkstelligen zu können, benötigt man bei den kleineren FortiGate Modellen mindestens ein SOC3 basierendes Gerät. Das kleinste Gerät mit einem SOC3 ist die lüfterlose FortiGate 60E, welche mit einem maximalen Durchsatz von 3 GBit/s ausreichend Bandbreite für einen Fiber7 Anschluss bietet.
Da die FortiGate 60E ausschliesslich über Gigabit Kupfer Ports verfügt, ist ein zusätzlicher Media Converter notwendig. Ein entsprechender Media Converter, wie der TP-Link MC220L kann direkt bei der Init7 mit der entsprechender Optik bezogen werden.
Das nächst grössere Modell, die FortiGate 80E, ist ebenfalls lüfterlos und verfügt über 2 SFP Slots. Die Optik, die man zusammen mit dem Patchkabel von der Init7 beziehen kann, funktioniert tadellos in der FortiGate 80E.
Konfiguration
Interfaces
In einem ersten Schritt konfigurieren wir das WAN Interface. Die Init7 benutzt auf ihren Fiber7 standard DHCPv4 und DHCPv6-PD.
config system interface edit "wan1" set vdom "root" set mode dhcp set allowaccess ping set type physical set alias "Fiber7" set role wan config ipv6 set ip6-mode dhcp set ip6-allowaccess ping set dhcp6-prefix-delegation enable end next end
Als zweiter Schritt muss das LAN Interface konfiguriert werden:
config system interface edit "internal1" set vdom "root" set ip 192.168.0.1 255.255.255.0 set allowaccess ping https ssh set alias "Clients" set device-identification enable set fortiheartbeat enable set role lan config ipv6 set ip6-allowaccess ping https ssh set ip6-send-adv enable set ip6-subnet ::1/64 config ip6-delegated-prefix-list edit 0 set upstream-interface "wan1" set autonomous-flag enable set onlink-flag enable set subnet ::/64 next end end next end
set ip6-mode delegated
– Definiert, dass die IP Adresse für dieses Interface über eine IPv6 Prefix Delegation definiert wirdset ip6-send-adv enable
– Erlaubt das aussenden von Router Advertisements auf diesem Interfaceset ip6-upstream-interface "wan1"
– Definiert von welchem Interface die Prefix Delegation kommtset ip6-subnet ::1/64
– Das Interface soll die erste IP Adresse im /64 Subnet benutzen.
Zusätzlich muss mit ip6-delegated-prefix-list
eine delegierte prefix liste definiert werden, um die über DHCPv6-PD erhaltenen Adressen zu verteilen. Man kann mehrere definieren, in diesem Beispiel definiere ich jedoch nur eines:
set autonomous-flag enable
– Erlaubt den Clients ihre eigenen globalen IPv6 Adressen zu konstruieren.set onlink-flag enable
– Benutze im Prefix des Router Advertisements “On-Link” Adressen (Details)set subnet ::/64
– Benutze das erste /64 vom /48, welches wir per DHCPv6 erhalten haben.
Zum Abschluss benötigen wir noch zwei Firewall Policies, jeweils eine für IPv4 und eine für IPv6:
config firewall policy edit 0 set name "Internet Access IPv4" set srcintf "internal1" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set nat enable next end
config firewall policy6 edit 0 set name "Internet Access IPv6" set srcintf "internal1" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" next end
Bezug
Die FortiGate Firewalls können von einem autorisierten Reseller bezogen.
Salü
Für welche FG hast du dich entschieden 60E oder 80E?
Wo hast du die FG bestellt, geht das als Privat Person?
Muss man bei FG zusätzliche Lizenzen kaufen?
Warum hast du gewechslet?
Mfg
Thomas
Ich habe mich für die FG-61E entschieden. Die hat zwar nur Kupfer, aber ich habe das SFP Modul in einem Switch drin.
Als Privatperson kannst du die FortiGate bei einem Reseller wie z.B. der First Frame Networkers in Baar beziehen.
Lizenzen: Normalerweise nimmt man gleich noch Services mit der Firewall, meist das UTM Package.