IPv6 consideraciones para AWS Client VPN - AWS Client VPN
Componentes clave del soporte IPv6 IPv6 asignación de CIDR del clienteRequisitos de compatibilidadCompatibilidad con DNSLimitacionesEl cliente dirige la aplicación de normas para IPv6IPv6 prevención de fugas (información antigua)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

IPv6 consideraciones para AWS Client VPN

Client VPN ahora admite la IPv6 conectividad nativa junto con IPv4 las capacidades existentes. Puede crear terminales IPv6 de pila única, IPv4 única o de doble pila (ambas IPv4 IPv6) para cumplir con sus requisitos de red.

Componentes clave del soporte IPv6

Cuando se trabaja con IPv6 Client VPN, hay dos parámetros de configuración clave:

Tipo de dirección IP del punto final

Este parámetro define el tipo de IP de Endpoint Management, que determina el tipo de EC2 instancia aprovisionada para el endpoint. Este tipo de IP se utiliza para gestionar el tráfico del túnel VPN externo (el tráfico cifrado que fluye entre el cliente y el servidor de OpenVPN a través de la Internet pública).

Tipo de dirección IP de tráfico

Este parámetro define el tipo de tráfico que fluye a través del túnel VPN. Este tipo de IP se usa para administrar el tráfico cifrado interno (la carga útil real), los rangos de CIDR de los clientes, la asociación de subredes, las rutas y las reglas por punto final.

IPv6 asignación de CIDR del cliente

Para el CIDR del IPv6 cliente, no es necesario especificar un bloque CIDR. Amazon asigna automáticamente los rangos de CIDR a los IPv6 clientes. Esta asignación automática permite que no haya tráfico SNATing por IPv6 túneles, lo que proporciona una mayor visibilidad de la IPv6 dirección del usuario conectado.

Requisitos de compatibilidad

IPv6 y los terminales de doble pila dependen de los dispositivos de los usuarios y de los proveedores de servicios de Internet (): ISPs

  • Los dispositivos de usuario que ejecutan el cliente CVPN deben admitir la configuración de IP requerida, como se muestra en la tabla de compatibilidad que aparece a continuación.

  • ISPs deben admitir la configuración IP requerida para que la conexión funcione correctamente.

  • Para el IPv6 tráfico de doble pila, las subredes de VPC asociadas deben IPv6 tener o rangos de CIDR de doble pila.

Compatibilidad con DNS

El DNS es compatible con todos los tipos de puntos finales:, y de doble pila. IPv4 IPv6 Para los IPv6 puntos finales, puede configurar los servidores IPv6 DNS mediante el parámetro. --dns-server-ipv6 Los registros DNS AAAA son compatibles tanto en el servicio como en el cliente.

Limitaciones

Las siguientes son las limitaciones de: IPv6

  • Client-to-client Los IPv6 clientes no admiten la comunicación (C2C). Si un IPv6 cliente intenta comunicarse con otro IPv6 cliente, se interrumpirá el tráfico.

El cliente dirige la aplicación de normas para IPv6

Client VPN ahora admite la aplicación de rutas de cliente para IPv6 el tráfico. Esta función ayuda a garantizar que el tráfico de IPv6 red de los clientes conectados siga las rutas definidas por el administrador y no se envíe inadvertidamente fuera del túnel VPN.

Aspectos clave del soporte de IPv6 Client Route Enforcement:

  • El ClientRouteEnforcementOptions.enforced indicador existente habilita la IPv4 CRE tanto para pilas como para IPv6 pilas.

  • IPv6 Client Route Enforcement excluye ciertos IPv6 rangos para mantener funcionalidades críticas IPv6:

    • ::1/128— Reservado para bucles invertidos

    • fe80::/10— Reservado para direcciones locales de enlace

    • ff00::/8— Reservado para multidifusión

  • IPv6 Client Route Enforcement está disponible en la versión 5.3.0 y superior de AWS VPN Client en Windows, macOS y Ubuntu.

Para obtener información más detallada sobre la CRE, incluida la forma de habilitarla y configurarla, consulteAWS Client VPN Aplicación de rutas del cliente.

IPv6 prevención de fugas (información antigua)

En el caso de las configuraciones más antiguas que no utilizan el IPv6 soporte nativo, es posible que tengas que evitar las IPv6 filtraciones. IPv6 la fuga puede producirse cuando ambas IPv4 IPv6 están habilitadas y conectadas a la VPN, pero la VPN no dirige el IPv6 tráfico a su túnel. En este caso, cuando te conectas a un destino IPv6 habilitado, en realidad sigues conectándote con la IPv6 dirección proporcionada por tu ISP. Esto filtrará tu IPv6 dirección real. Las siguientes instrucciones explican cómo enrutar el IPv6 tráfico al túnel VPN.

Las siguientes directivas IPv6 relacionadas deben añadirse al archivo de configuración de Client VPN para evitar IPv6 filtraciones:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Por ejemplo:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

En este ejemplo, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 configurará la dirección del dispositivo del túnel local como fd15:53b6:dead::2 y la IPv6 dirección del punto final IPv6 de la VPN remota como talfd15:53b6:dead::1.

El siguiente comando route-ipv6 2000::/4 enrutará IPv6 las direcciones desde y 2000:0000:0000:0000:0000:0000:0000:0000 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff hacia la conexión VPN.

nota

Para el enrutamiento de dispositivos «TAP» en Windows, por ejemplo, el segundo parámetro de se ifconfig-ipv6 utilizará como destino de la ruta--route-ipv6.

Las organizaciones deben configurar los dos parámetros de ifconfig-ipv6 ellos mismos, y pueden usar direcciones en 100::/64 (de 0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) o fc00::/7 (de fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 es un bloque de direcciones de descarte únicamente, y fc00::/7 es local y único.

Otro ejemplo.

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

En este ejemplo, la configuración enrutará todo el IPv6 tráfico actualmente asignado a la conexión VPN.

Verificación

Es probable que su organización tenga sus propias pruebas. Una verificación básica consiste en configurar una conexión VPN de túnel completo y, a continuación, ejecutar ping6 en un IPv6 servidor utilizando la IPv6 dirección. La IPv6 dirección del servidor debe estar en el rango especificado por el route-ipv6 comando. Esta prueba de ping debería fallar. Sin embargo, esto puede cambiar si se añade IPv6 soporte al servicio Client VPN en el futuro. Si el ping se realiza correctamente y puede acceder a sitios públicos cuando está conectado en modo túnel completo, es posible que tenga que hacer pruebas para solucionar el problema. También hay algunas herramientas disponibles públicamente.