Componentes principales de la compatibilidad con IPv6 Asignación de CIDR de clientes IPv6 Requisitos de compatibilidad Compatibilidad con DNS Limitaciones Client Routes Enforcement para IPv6 Prevención de fugas de IPv6 (información antigua)

Consideraciones sobre IPv6 para AWS Client VPN

Client VPN admite ahora conectividad IPv6 nativa junto con las capacidades de IPv4 existentes. Puede crear puntos de conexión de solo IPv6, solo IPv4 o doble pila (IPv4 e IPv6) para cumplir los requisitos de red.

Componentes principales de la compatibilidad con IPv6

Hay dos parámetros de configuración clave cuando se trabaja con IPv6 en Client VPN:

Tipo de dirección IP de punto de conexión: Este parámetro define el tipo de IP de administración de puntos de conexión, que determina el tipo de instancia de EC2 aprovisionada para el punto de conexión. Este tipo de IP se utiliza para administrar el tráfico de túnel de VPN externo (el tráfico cifrado que fluye entre el cliente y el servidor de OpenVPN a través de la Internet pública).
Tipo de dirección IP de tráfico: Este parámetro define el tipo de tráfico que fluye a través del túnel de VPN. Este tipo de IP se usa para administrar el tráfico cifrado interno (la carga útil real), los intervalos de CIDR de los clientes, la asociación de subredes, las rutas y las reglas por punto de conexión.

Asignación de CIDR de clientes IPv6

No es necesario especificar un bloque de CIDR para el CIDR de clientes IPv6. Amazon asigna automáticamente intervalos de CIDR para clientes IPv6. Esta asignación automática habilita no-SNATing para tráfico de túnel IPv6, lo que proporciona mayor visibilidad de la dirección IPv6 del usuario conectado.

Requisitos de compatibilidad

Los puntos de conexión IPv6 y doble pila dependen de los dispositivos de usuario y de los proveedores de servicios de Internet (ISP):

Los dispositivos de usuario que ejecutan el cliente de CVPN deben admitir la configuración de IP requerida, como se muestra en la tabla de compatibilidad que aparece a continuación.
Los ISP deben admitir la configuración de IP requerida para que la conexión funcione correctamente.
Para el tráfico de IPv6 o de doble pila, las subredes de VPC asociadas deben tener intervalos de CIDR de IPv6 o de doble pila.

Compatibilidad con DNS

Se admiten DNS en todos los tipos de puntos de conexión: IPv4, IPv6 y doble pila. Para los puntos de conexión IPv6, puede configurar los servidores de DNS IPv6 mediante el parámetro --dns-server-ipv6. Los registros de DNS AAAA son compatibles tanto en el servicio como en el cliente.

Limitaciones

A continuación, se indican las limitaciones con IPv6:

Los clientes IPv6 no admiten la comunicación de cliente a cliente (C2C). Si un cliente IPv6 intenta comunicarse con otro cliente IPv6, se interrumpirá el tráfico.

Client Routes Enforcement para IPv6

Client VPN admite ahora Client Route Enforcement para tráfico de IPv6. Esta característica ayuda a garantizar que el tráfico de red IPv6 de los clientes conectados siga las rutas definidas por el administrador y no se envíe inadvertidamente fuera del túnel de VPN.

Aspectos clave de la compatibilidad con la aplicación de rutas de clientes IPv6:

La marca ClientRouteEnforcementOptions.enforced existente habilita CRE para pilas de IPv4 e IPv6.
IPv6 Client Route Enforcement excluye ciertos intervalos de IPv6 para mantener funcionalidades críticas de IPv6:
- ::1/128: reservado para bucles invertidos
- fe80::/10: reservado para direcciones locales de enlace
- ff00::/8: reservado para multidifusión
IPv6 Client Route Enforcement está disponible en AWS VPN Client versión 5.3.0 y superior en Windows, macOS y Ubuntu.

Para obtener más información sobre CRE, incluido cómo configurarlo y habilitarlo, consulte AWS Client VPN Client Route Enforcement.

Prevención de fugas de IPv6 (información antigua)

En el caso de las configuraciones antiguas que no utilizan compatibilidad nativa con IPv6, es posible que deba evitar la fuga de IPv6. Una fuga de IPv6 puede ocurrir cuando IPv4 e IPv6 están habilitados y conectados a la VPN, pero la VPN no enruta el tráfico de IPv6 a su túnel. En este caso, cuando se conecta a un destino habilitado para IPv6, todavía se está conectando con su dirección IPv6 proporcionada por su ISP. Esto filtrará su dirección IPv6 real. Las siguientes instrucciones explican cómo enrutar el tráfico IPv6 al túnel VPN.

Las siguientes directivas relacionadas con IPv6 deben agregarse al archivo de configuración de Client VPN para evitar fugas de IPv6:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Por ejemplo:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

En este ejemplo, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 configurará la dirección IPv6 del dispositivo de túnel local como fd15:53b6:dead::2 y la dirección IPv6 del punto de enlace VPN remoto como fd15:53b6:dead::1.

El siguiente comando, route-ipv6 2000::/4 enrutará las direcciones IPv6 de 2000:0000:0000:0000:0000:0000:0000:0000 a 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff en la conexión de VPN.

nota

Para el enrutamiento de dispositivos “TAP” en Windows, por ejemplo, el segundo parámetro de ifconfig-ipv6 se usará como destino de ruta para --route-ipv6.

Las organizaciones deben configurar los dos parámetros de ifconfig-ipv6 ellos mismos, y pueden usar direcciones en 100::/64 (de 0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) o fc00::/7 (de fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 es un bloque de direcciones de descarte únicamente, y fc00::/7 es local y único.

Otro ejemplo.

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

En este ejemplo, la configuración enrutará todo el tráfico IPv6 asignado actualmente a la conexión de VPN.

Verificación

Es probable que su organización tenga sus propias pruebas. Una verificación básica consiste en configurar una conexión de VPN de túnel completa y, a continuación, ejecutar ping6 en un servidor IPv6 utilizando la dirección IPv6. La dirección IPv6 del servidor debe estar en el rango especificado por el comando route-ipv6. Esta prueba de ping debería fallar. Sin embargo, esto puede cambiar si la compatibilidad con IPv6 se agrega al servicio de Client VPN en el futuro. Si el ping se realiza correctamente y puede acceder a sitios públicos cuando está conectado en modo túnel completo, es posible que tenga que hacer pruebas para solucionar el problema. También hay algunas herramientas disponibles públicamente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas

Monitoreo de Client VPN