【简介】除了单位用户以外,大部分个人用户目前使用的仍然是30E、50E、60E系列防火墙,固件无法达到目前最高版本7.6,这里以最常用的60E为例,演示固件版本7.2下实现ADSL拨号宽带的IPv6上网。由于内容比较多,文章分上、下篇,上篇介绍IPv4上网,下篇介绍IPv6上网。
确认你的宽带支持IPv6
首先确认你家的ADSL拨号宽带支持IPv6。确认方法很简单,用电脑进行拨号,然后访问IPv6测试网站。
① 将光猫上平时接路由器的网线直接接入电脑的网口,配置拨号连接。
② 输入ADSL拨号宽带的帐号和密码。
③ 显示【你已连接到Internet】后,就可以用浏览器打开网页上网了。如果显示没有连接,就需要检查帐号和密码是否正确,是否光猫自己拨号了。一般重启光猫也可以解决拨不上号的问题。
④ 打开IPv6测试网站ipv6-test.ch,通过测试就说明你的宽带是支持IPv6上网的。如果没有通过测试,请参考第一篇文章,修改光猫设置。这里不再详叙。
初始登录FortiGate 60E防火墙
为了兼顾不熟悉FortiGate防火墙的朋友,这里从初始登录防火墙讲起,熟悉的朋友可以跳过。
① 60E最左右有两个竖排的孔是用来接入电源的。Wan1和Wan2用来连接宽带,这里我们把光猫上的网线接入到wan1口,1-7号口都是完全一样内网的,用来接入电脑,这里我们把连接电脑的网线接入1号口。CONSOLE口是用命令来配置防火墙用的,DMZ口是连接服务器映射用的。
② 通电后略等片刻,防火墙面板上STATUS灯从闪烁变成长亮,表示系统已经启动完成。
③ 这里以苹果电脑举例,手动配置网卡IP为192.168.1.x网段。
④ 打开浏览器(推荐使用火狐和谷歌),输入地址 https://192.168.1.99 ,初始登录防火墙会显示警告信息,这里点击【高级...】 。
⑤ 显示是因为证书的原因报警,点击【授受风险并继续】,浏览器会下载防火墙的证书,下次再登录就不会出现这个提示了。
⑥ 显示登录窗口,输入默认帐号admin ,由于默认密码为空,这里无需输入密码,点击【Login】。
⑦ 初次登录防火墙会强制要求变更密码,由于默认密码为空,所以第一行老密码不用输入,在下面二行输入两次相同的新密码,点击【OK】。
⑧ 再次用admin帐号和新密码进行登录。
⑨ 显示设置向导,点击【Begin】。
⑩ 由于很多防火墙无人管理,老版本的固件又有漏洞风险,所以最新版本固件都有一个自动升级功能,但是升级的都是小版本的固件,例如从7.2.10升级到7.2.11,由于升级固件会重启防火墙,所以不希望防火墙自动重启的,又或者服务已经过期的,可以选择禁用自动升级功能。
⑪ 显示禁用自动补丁升级提示,选择【I acknowledge】我确认,点击【OK】。
⑫ 仪表板设置有两个选项,可以理解一个是新版界面,一个是老版界面,默认新版界面,点击【OK】。
⑬ 最后显示的FortiOS 7.2版本的功能介绍视频,由于视频服务器位于国外,这里显示不了,启用【Don't show again】下次不再显示,点击【OK】。
⑭ 总算是登录了60E防火墙,首页上可以看到固件版为7.2.10,这是目前7.2的最高版本了。其实60E支持的最高固件版本是7.4,但是由于7.4版本推时间不长,稳定性不好,另外7.4版本之后再升级固件就需要设备在服务期内了,否则不给升级。因此推荐60E使用稳定的7.2版本。
⑮ 在这里购买防火墙,固件都会升级到最新稳定版本。
⑯ 防火墙默认情况下是英文界面,我们还需要做一些简单的配置。选择菜单【System】-【Settings】,在系统设置界面,首先输入主机名称,当有多台防火墙时好作为区分。时区选择+8:00的北京时区,这样保存日志时就是当地时间了。
⑰ 防火墙默认的HTTPS端口是443,如果我们要通过宽带远程访问防火墙时就会发现,大部分宽带运营商都封闭了80和443端口,因此这里修改为其它端口,例如8443,方便以后远程访问防火墙。Idel timeout 为多久不操作后退出管理界面,默认是5分钟,由于初次配置动作慢,这里选择30分钟,以避免还在思考怎么配置的时候就到时间了自动退出配置界面。
⑱ 最后就是修改语言了,这里设置为简体中文。点击【Apply】。
⑲ 防火墙以 https://192.168.1.99:8443 登录,显示的也是中文了。
配置PPPoE拨号上网
在实现IPv6拨号上网之前,我们先配置IPv4下的拨号上网。
① 选择菜单【网络】-【接口】,选择wan1口,这个接口连接到光猫,点击【编辑】。
② 首先输入接口别名,以区分接口的作用,可以输入中文。由于这条宽带是移动的500M,所以别名CMCC-500M,当有多条宽带时就能区分开了。wan1接口的地址寻址模式默认为【DHCP】,因此从光猫中自动获取到IP地址。这里忽略,点击【PPPoE】。
③ 输入宽带帐号和密码,如果希望从wan1口也能登录防火墙,启用管理防问IPv4下的【HTTPS】。点击【确认】,wan1口就配置完成了。
④ 再次编辑wan1口,如果一直出现【正在初始化...】,说明没有拨号成功。
⑤ 有个小技巧,如果拨号一直不成功,可以先将wan口禁用,在接口列表界面,鼠标右击接口,弹出菜单选择【设置状态】-【禁用】。
⑥ 稍等一会儿,再用同样的方法启用wan口,很会就会显示拨号成功。如果再不成功,最后只能断电重启光猫了。
⑦ 如果拨号成功,则会显示IP地址、网关和DNS等信息。
⑧ 选择菜单【仪表板】-【网络】,点击【静态&动态路由】。
⑨ 可以看到自动生成了一条默认路由。
⑩ 再来看一看上网策略,选择菜单【策略&对象】-【防火墙策略】,这里已经默认有一条internal接口到wan1口的上网策略,选择策略,点击【编辑】。
⑪ 策略内容是允许internal接口的所有IP访问wan1接口的所有IP,启用NAT。保持默认设置,点击【取消】。如果没有这条上网策略是无法上网的,需要手动创建。
⑫ 最后一个步骤是编辑内网接口,选择菜单【网络】-【接口】,选择internal接口,点击【编辑】。
⑬ internal接口的默认IP为192.168.1.99/255.255.255.0,这里可以修改为你自定义的网络地址,注意子网掩码不要输入成255.255.255.255。
⑭ DHCP地址IP范围也要修改为172.16.8.x网段,如果这里忘记修改了,确定时会报错。DNS选择【指定】,这里输入的是ADSL宽带拨号自动显示的DNS地址,也就是移动的DNS,也可以输入通用的DNS,例如8.8.8.8或114.114.114.114,不过通常运营商自带的DNS解析速度会更快一些。点击【确认】,由于接口IP已改,而电脑IP还是192.168.1.x网段,因此会连接不上防火墙了。
验证上网效果
配置完防火墙的wan1和internal接口,就可以测试上网了。默认路由自动生成,上网策略也默认配置好的。
① 电脑网口设置为DHCP,从防火墙的internal接口的DHCP获取到了IP地址、网关和DNS。
② ping百度域名,可以解析出IP地址并ping通,说明可以正常上网了。
③ 访问IPv6测试网站,这次没有通过。下篇一文章将介绍如何在防火墙启用并配置IPv6。
