Vi har krav på att aktivera IPv6 för dialup IPsec och SSL-VPN eftersom fler och fler användare stöter på problem med IPv4-lite (DSL-lite).
Jag såg att FortiGate och FortiClient stödjer dual stack från version 7. Det är dock så att hela företagsnätverket bara använder IPv4 internt. Så dual stack ensam kommer inte att lösa problemet.
Stöder FortiClient och FortiGate IPsec/SSL-VPN IPv4-tunneling över IPv6? T.ex. kan slutanvändaren ansluta till VPN-gatewayen över IPv6 och sedan komma åt resurser via IPv4, som det är vanligt i företaget just nu. Kan tunneln kombineras med NAT64?
Du kan köra dual stack på ditt SSL VPN likväl som dina IP Sec VPN-anslutningar, vilket inte borde vara något problem. Har kört detta scenario i mitt labb och hos ett par kunder; dual stack-internetanslutning, med dual stack på SSL VPN till dual stack eller IPv4 internt.
För IPv6-trafiken, * → LAN, kan du använda NAT64 för att NAT:a den trafiken till IPv4 LAN. I 6.x är det möjligt att köra full dual stack, även om de flesta IPv6 och NAT46/NAT64 kommer att vara CLI.
Om du går till 7.x får du tillgång till det via GUI, vilket jag skulle rekommendera.
Tunnlingstrafiken bör vara helt separat från den tunnlade trafiken. Med andra ord, om den fjärranslutna gatewayen är inställd på en IPv4-adress eller en IPv6-adress, borde det inte påverka vilken trafik du skickar genom tunneln när du väl är ansluten.
Jag har dock inte testat detta. Jag kunde, jag har två platser som är fullt dual-stacked, och jag hade för avsikt att dual-stack VPN:erna också för att testa prestandaskillnader.
Om du har ställt in SSLVPN för att lyssna på ett WAN-gränssnitt som redan har en IPv6-adress kan du mycket enkelt testa det; det lyssnar redan på båda IP:erna. Ändra bara den fjärranslutna gatewayen i FortiClient-inställningarna till IPv6-adressen och prova. Som jag nämnde, du behöver förmodligen inte ändra något annat. IPsec är kanske annorlunda; jag har inte tittat på det. Min bästa gissning är att en separat tunnel behövs eftersom den terminerar på en specifik IP-adress, till skillnad från SSLVPN.