【高级篇 / IPv6】(7.2) ❀ 04. 在60E上配置ADSL拨号宽带上网（IPv4） ❀ FortiGate 防火墙

　　【简介】除了单位用户以外，大部分个人用户目前使用的仍然是30E、50E、60E系列防火墙，固件无法达到目前最高版本7.6，这里以最常用的60E为例，演示固件版本7.2下实现ADSL拨号宽带的IPv6上网。由于内容比较多，文章分上、下篇，上篇介绍IPv4上网，下篇介绍IPv6上网。

确认你的宽带支持IPv6

　　首先确认你家的ADSL拨号宽带支持IPv6。确认方法很简单，用电脑进行拨号，然后访问IPv6测试网站。

　　① 将光猫上平时接路由器的网线直接接入电脑的网口，配置拨号连接。

　　② 输入ADSL拨号宽带的帐号和密码。

　　③ 显示【你已连接到Internet】后，就可以用浏览器打开网页上网了。如果显示没有连接，就需要检查帐号和密码是否正确，是否光猫自己拨号了。一般重启光猫也可以解决拨不上号的问题。

　　④ 打开IPv6测试网站ipv6-test.ch，通过测试就说明你的宽带是支持IPv6上网的。如果没有通过测试，请参考第一篇文章，修改光猫设置。这里不再详叙。

初始登录FortiGate 60E防火墙

　　为了兼顾不熟悉FortiGate防火墙的朋友，这里从初始登录防火墙讲起，熟悉的朋友可以跳过。

　　① 60E最左右有两个竖排的孔是用来接入电源的。Wan1和Wan2用来连接宽带，这里我们把光猫上的网线接入到wan1口，1-7号口都是完全一样内网的，用来接入电脑，这里我们把连接电脑的网线接入1号口。CONSOLE口是用命令来配置防火墙用的，DMZ口是连接服务器映射用的。

　　② 通电后略等片刻，防火墙面板上STATUS灯从闪烁变成长亮，表示系统已经启动完成。

　　③ 这里以苹果电脑举例，手动配置网卡IP为192.168.1.x网段。

　　④ 打开浏览器(推荐使用火狐和谷歌），输入地址 https://192.168.1.99 ，初始登录防火墙会显示警告信息，这里点击【高级...】。

　　⑤ 显示是因为证书的原因报警，点击【授受风险并继续】，浏览器会下载防火墙的证书，下次再登录就不会出现这个提示了。

　　⑥ 显示登录窗口，输入默认帐号admin，由于默认密码为空，这里无需输入密码，点击【Login】。

　　⑦ 初次登录防火墙会强制要求变更密码，由于默认密码为空，所以第一行老密码不用输入，在下面二行输入两次相同的新密码，点击【OK】。

　　⑧ 再次用admin帐号和新密码进行登录。

　　⑨ 显示设置向导，点击【Begin】。

　　⑩ 由于很多防火墙无人管理，老版本的固件又有漏洞风险，所以最新版本固件都有一个自动升级功能，但是升级的都是小版本的固件，例如从7.2.10升级到7.2.11，由于升级固件会重启防火墙，所以不希望防火墙自动重启的，又或者服务已经过期的，可以选择禁用自动升级功能。

　　⑪ 显示禁用自动补丁升级提示，选择【I acknowledge】我确认，点击【OK】。

　　⑫ 仪表板设置有两个选项，可以理解一个是新版界面，一个是老版界面，默认新版界面，点击【OK】。

　　⑬ 最后显示的FortiOS 7.2版本的功能介绍视频，由于视频服务器位于国外，这里显示不了，启用【Don‘t show again】下次不再显示，点击【OK】。

　　⑭ 总算是登录了60E防火墙，首页上可以看到固件版为7.2.10，这是目前7.2的最高版本了。其实60E支持的最高固件版本是7.4，但是由于7.4版本推时间不长，稳定性不好，另外7.4版本之后再升级固件就需要设备在服务期内了，否则不给升级。因此推荐60E使用稳定的7.2版本。

　　⑮ 在这里购买防火墙，固件都会升级到最新稳定版本。

　　⑯ 防火墙默认情况下是英文界面，我们还需要做一些简单的配置。选择菜单【System】-【Settings】，在系统设置界面，首先输入主机名称，当有多台防火墙时好作为区分。时区选择+8:00的北京时区，这样保存日志时就是当地时间了。

　　⑰ 防火墙默认的HTTPS端口是443，如果我们要通过宽带远程访问防火墙时就会发现，大部分宽带运营商都封闭了80和443端口，因此这里修改为其它端口，例如8443，方便以后远程访问防火墙。Idel timeout 为多久不操作后退出管理界面，默认是5分钟，由于初次配置动作慢，这里选择30分钟，以避免还在思考怎么配置的时候就到时间了自动退出配置界面。

　　⑱ 最后就是修改语言了，这里设置为简体中文。点击【Apply】。

　　⑲ 防火墙以 https://192.168.1.99:8443 登录，显示的也是中文了。

配置PPPoE拨号上网

　　在实现IPv6拨号上网之前，我们先配置IPv4下的拨号上网。

　　① 选择菜单【网络】-【接口】，选择wan1口，这个接口连接到光猫，点击【编辑】。

　　② 首先输入接口别名，以区分接口的作用，可以输入中文。由于这条宽带是移动的500M，所以别名CMCC-500M，当有多条宽带时就能区分开了。wan1接口的地址寻址模式默认为【DHCP】，因此从光猫中自动获取到IP地址。这里忽略，点击【PPPoE】。

　　③ 输入宽带帐号和密码，如果希望从wan1口也能登录防火墙，启用管理防问IPv4下的【HTTPS】。点击【确认】，wan1口就配置完成了。

　　④ 再次编辑wan1口，如果一直出现【正在初始化...】，说明没有拨号成功。

　　⑤ 有个小技巧，如果拨号一直不成功，可以先将wan口禁用，在接口列表界面，鼠标右击接口，弹出菜单选择【设置状态】-【禁用】。

　　⑥ 稍等一会儿，再用同样的方法启用wan口，很会就会显示拨号成功。如果再不成功，最后只能断电重启光猫了。

　　⑦ 如果拨号成功，则会显示IP地址、网关和DNS等信息。

　　⑧ 选择菜单【仪表板】-【网络】，点击【静态&动态路由】。

　　⑨ 可以看到自动生成了一条默认路由。

　　⑩ 再来看一看上网策略，选择菜单【策略&对象】-【防火墙策略】，这里已经默认有一条internal接口到wan1口的上网策略，选择策略，点击【编辑】。

　　⑪ 策略内容是允许internal接口的所有IP访问wan1接口的所有IP，启用NAT。保持默认设置，点击【取消】。如果没有这条上网策略是无法上网的，需要手动创建。

　　⑫ 最后一个步骤是编辑内网接口，选择菜单【网络】-【接口】，选择internal接口，点击【编辑】。

　　⑬ internal接口的默认IP为192.168.1.99/255.255.255.0，这里可以修改为你自定义的网络地址，注意子网掩码不要输入成255.255.255.255。

　　⑭ DHCP地址IP范围也要修改为172.16.8.x网段，如果这里忘记修改了，确定时会报错。DNS选择【指定】，这里输入的是ADSL宽带拨号自动显示的DNS地址，也就是移动的DNS，也可以输入通用的DNS，例如8.8.8.8或114.114.114.114，不过通常运营商自带的DNS解析速度会更快一些。点击【确认】，由于接口IP已改，而电脑IP还是192.168.1.x网段，因此会连接不上防火墙了。

验证上网效果