Ipv6 implementatie met Fortigate VM in Azure

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • b00ster
  • Registratie: December 2006
  • Laatst online: 24-08 19:51
Mijn vraag
Voor mijn werk ben ik bezig met een proof-of-concept opstelling van een Fortigate in Azure. Dit betreft een vrij "kale" opstelling, zonder Azure loadbalancers of NAT gateway's (deze willen we eigenlijk ook niet gebruiken).
De IPv4 integratie met het Azure vNET gaat prima, ik kan een webserver in een protected subnet bereiken (via internet), en ik kan deze webserver ook internet toegang geven via het uitgaande interface IP.
Nu ben ik met IPv6 bezig, maar krijg dit helaas niet werkende. De documentatie wat betreft IPv6 inrichten in Azure samen met een Fortigate VM laat helaas te wensen over.

Wat ik me allereerst afvraag is, welke ranges moet ik gebruiken voor de interne/externe subnetten?
Moeten die conform regelgevingen wat betreft IPv6 in de address space fd00::/8 vallen (vergelijkbaar met private reeksen ipv4?) (zie hieronder?).

Zover ik begrepen heb NAT Azure externe IP's naar interne IP's (1:1) in een dedicated subnet waarin de Fortigate is afgemonteerd.
De vraag is alleen echter of het zo ook werkt voor IPv6? Ben jij een kennishouder van IPv6/Fortigate of Azure die mij verder op weg kan helpen?

Relevante software en hardware die ik gebruik
- Fortigate Azure VM (Single-VM) v7.4.2.
- Azure vNET met IPv4 address space (192.168.0.0/16) en IPv6 address space (fd00::/8).
- Een extern subnet voor de Fortigate (192.168.254.0/24) en IPv6 (fd00:0:0:1::/64).
- Een intern subnet voor de Fortigate (192.168.253.0/24) en IPv6 (fd00::/64).
- Op de vNIC/netwerkkaart van de Fortigate leeft zowel een public IPv4 IP en een IPv6 IP.

Wat ik al gevonden of geprobeerd heb
Ik heb geprobeerd om internet connectiviteit te realiseren via IPv6 (inkomend/uitgaan), echter lijkt dit niet te werken op dezelfde wijze als bij IPv4.

Alle reacties


Acties:
  • 0 Henk 'm!

  • iworx
  • Registratie: Juli 2001
  • Laatst online: 30-09 11:27
IPv6 doet traditioneel geen NAT. Je devices krijgen allemaal een extern bereikbaar IPv6 dat je dan gaat moeten firewallen.

Ik ken te weinig van Azure om hierop een gedegen antwoord te geven - maar bij de meeste service providers krijg je een /64 subnet dat je dan kan gebruiken via eigen DHCP of via hen.

Er moeten ook een pak IPv6 ICMP poorten open staan voor het uitdelen van adressen.

https://learn.microsoft.c...ip-services/ipv6-overview

This space intentionally left blank.


Acties:
  • 0 Henk 'm!

  • b00ster
  • Registratie: December 2006
  • Laatst online: 24-08 19:51
iworx schreef op maandag 5 februari 2024 @ 14:40:
IPv6 doet traditioneel geen NAT. Je devices krijgen allemaal een extern bereikbaar IPv6 dat je dan gaat moeten firewallen.

Ik ken te weinig van Azure om hierop een gedegen antwoord te geven - maar bij de meeste service providers krijg je een /64 subnet dat je dan kan gebruiken via eigen DHCP of via hen.

Er moeten ook een pak IPv6 ICMP poorten open staan voor het uitdelen van adressen.

https://learn.microsoft.c...ip-services/ipv6-overview
Dank voor je reactie!

Ondertussen wat tijd gestoken in onderstaande video van John Savill.
YouTube: IPv6 Overview

Op basis van zijn uitleg kan ik in ieder geval concluderen dat Azure zijn interne address space nog steeds verwacht in een unique local adres space (niet routeerbaar op het internet). Komende dagen maar eens wat configuratie wijzigingen doorvoeren en verder testen.