IPv6 Überlegungen für AWS Client VPN - AWS Client VPN
Die wichtigsten Komponenten des Supports IPv6 IPv6 CIDR-Zuweisung an den ClientAnforderungen an die KompatibilitätDNS-SupportEinschränkungenDurchsetzung von Client-Routes für IPv6IPv6 Vermeidung von Leckagen (ältere Informationen)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IPv6 Überlegungen für AWS Client VPN

Client VPN unterstützt jetzt neben den vorhandenen IPv4 Funktionen auch native IPv6 Konnektivität. Sie können Endpoints vom Typ „ IPv6Nur“, „ IPv4Nur“ oder „Dual-Stack“ ( IPv4 sowohl als auch IPv6) erstellen, um Ihre Netzwerkanforderungen zu erfüllen.

Die wichtigsten Komponenten des Supports IPv6

Bei der Arbeit mit IPv6 Client VPN gibt es zwei wichtige Konfigurationsparameter:

Typ der IP-Adresse des Endpunkts

Dieser Parameter definiert den Endpoint Management-IP-Typ, der den EC2 Instanztyp bestimmt, der für den Endpunkt bereitgestellt wird. Dieser IP-Typ wird für die Verwaltung des externen VPN-Tunnelverkehrs verwendet (der verschlüsselte Verkehr, der zwischen dem OpenVPN-Client und dem Server über das öffentliche Internet fließt).

Art der IP-Adresse des Verkehrs

Dieser Parameter definiert die Art des Datenverkehrs, der durch den VPN-Tunnel fließt. Dieser IP-Typ wird für die Verwaltung des internen verschlüsselten Datenverkehrs (der eigentlichen Nutzlast), der Client-CIDR-Bereiche, der Subnetzzuweisung, der Routen und der Regeln pro Endpunkt verwendet.

IPv6 CIDR-Zuweisung an den Client

Für IPv6 Client-CIDR müssen Sie keinen CIDR-Block angeben. Amazon weist Kunden automatisch CIDR-Bereiche zu IPv6 . Diese automatische Zuweisung ermöglicht „Nein-“ SNATing für IPv6 Tunnelverkehr und bietet so einen besseren Einblick in die IPv6 Adresse des verbundenen Benutzers.

Anforderungen an die Kompatibilität

IPv6 und Dual-Stack-Endpunkte sind von Benutzergeräten und Internetdienstanbietern abhängig ()ISPs:

  • Benutzergeräte, auf denen der CVPN-Client ausgeführt wird, müssen die erforderliche IP-Konfiguration unterstützen, wie in der folgenden Kompatibilitätstabelle dargestellt.

  • ISPs muss die erforderliche IP-Konfiguration unterstützen, damit die Verbindung ordnungsgemäß funktioniert.

  • Für IPv6 Dual-Stack-Verkehr müssen die zugehörigen VPC-Subnetze über IPv6 oder Dual-Stack-CIDR-Bereiche verfügen.

DNS-Support

DNS wird auf allen Arten von Endpunkten unterstützt —, und Dual-Stack. IPv4 IPv6 Für IPv6 Endgeräte können Sie IPv6 DNS-Server mithilfe des Parameters konfigurieren. --dns-server-ipv6 AAAA-DNS-Einträge werden sowohl auf der Dienst- als auch auf der Clientseite unterstützt.

Einschränkungen

Im Folgenden sind die Einschränkungen aufgeführt bei IPv6:

  • Client-to-client (C2C) -Kommunikation wird für IPv6 Clients nicht unterstützt. Wenn ein IPv6 Client versucht, mit einem anderen IPv6 Client zu kommunizieren, wird der Datenverkehr unterbrochen.

Durchsetzung von Client-Routes für IPv6

Client VPN unterstützt jetzt Client Routes Enforcementation für IPv6 den Datenverkehr. Mit dieser Funktion wird sichergestellt, dass der IPv6 Netzwerkverkehr von verbundenen Clients den vom Administrator definierten Routen folgt und nicht versehentlich außerhalb des VPN-Tunnels gesendet wird.

Die wichtigsten Aspekte der Unterstützung von IPv6 Client Route Enforcemento:

  • Das bestehende ClientRouteEnforcementOptions.enforced Flag aktiviert CRE sowohl für Stacks als auch für IPv4 IPv6 Stacks.

  • IPv6 Client Route Enforcement schließt bestimmte IPv6 Bereiche aus, um wichtige Funktionen aufrechtzuerhalten: IPv6

    • ::1/128— Reserviert für Loopback

    • fe80::/10— Reserviert für Link-Local-Adressen

    • ff00::/8— Reserviert für Multicast

  • IPv6 Client Route Enforcement ist in der AWS VPN-Client-Version 5.3.0 und höher unter Windows, macOS und Ubuntu verfügbar.

Ausführlichere Informationen zu CRE, einschließlich dessen Aktivierung und Konfiguration, finden Sie unter. AWS Client VPN Durchsetzung der Client-Route

IPv6 Vermeidung von Leckagen (ältere Informationen)

Bei älteren Konfigurationen, die den systemeigenen IPv6 Support nicht nutzen, müssen Sie möglicherweise trotzdem IPv6 Leckagen verhindern. IPv6 Ein Datenleck kann auftreten, wenn beide IPv4 aktiviert und mit dem VPN verbunden IPv6 sind, das VPN aber keinen IPv6 Datenverkehr in seinen Tunnel weiterleitet. In diesem Fall stellen Sie, wenn Sie eine Verbindung zu einem IPv6 aktivierten Ziel herstellen, tatsächlich immer noch eine Verbindung mit Ihrer von Ihrem ISP bereitgestellten IPv6 Adresse her. Dadurch wird Ihre echte IPv6 Adresse durchsickern. In den folgenden Anweisungen wird erklärt, wie Sie den IPv6 Datenverkehr in den VPN-Tunnel weiterleiten.

Die folgenden zugehörigen IPv6 Anweisungen sollten zu Ihrer Client-VPN-Konfigurationsdatei hinzugefügt werden, um IPv6 Datenlecks zu verhindern:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Ein Beispiel könnte sein:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

In diesem Beispiel ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 wird die Adresse des lokalen Tunnelgeräts auf IPv6 0 fd15:53b6:dead::2 und die Adresse des Remote-VPN-Endpunkts IPv6 auf 0 festgelegtfd15:53b6:dead::1.

Der nächste Befehl route-ipv6 2000::/4 leitet IPv6 Adressen von 2000:0000:0000:0000:0000:0000:0000:0000 bis 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff in die VPN-Verbindung weiter.

Anmerkung

Für das „TAP“ -Geräterouting in Windows ifconfig-ipv6 wird beispielsweise der zweite Parameter von als Routenziel für verwendet--route-ipv6.

Organisationen sollten die beiden Parameter von ifconfig-ipv6 selbst konfigurieren und können Adressen in 100::/64 (von 0100:0000:0000:0000:0000:0000:0000:0000 bis 0100:0000:0000:0000:ffff:ffff:ffff:ffff) oder fc00::/7 (von fc00:0000:0000:0000:0000:0000:0000:0000 bis fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) verwenden. 100::/64 ist ein Nur-Verwerf-Addressblock und fc00::/7 ist eindeutig-lokal.

Ein weiteres Beispiel:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

In diesem Beispiel leitet die Konfiguration den gesamten aktuell zugewiesenen IPv6 Datenverkehr in die VPN-Verbindung weiter.

Verifizierung

Ihre Organisation wird wahrscheinlich eigene Tests haben. Eine grundlegende Überprüfung besteht darin, eine vollständige Tunnel-VPN-Verbindung einzurichten und dann unter Verwendung der IPv6 Adresse ping6 zu einem IPv6 Server auszuführen. Die IPv6 Adresse des Servers sollte in dem durch den route-ipv6 Befehl angegebenen Bereich liegen. Dieser Ping-Test sollte fehlschlagen. Dies kann sich jedoch ändern, wenn der Client-VPN-Dienst in future um IPv6 Unterstützung erweitert wird. Wenn der Ping erfolgreich ist und Sie auf öffentliche Websites zugreifen können, wenn Sie im Voll-Tunnelmodus verbunden sind, müssen Sie möglicherweise weitere Fehlerbehebungen durchführen. Es gibt auch einige öffentlich verfügbare Tools.