IPv6 considérations pour AWS Client VPN - AWS Client VPN
Principaux éléments du IPv6 supportIPv6 assignation CIDR au clientExigences en matière de compatibilitéSupport DNSLimitesApplication des itinéraires clients pour IPv6IPv6 prévention des fuites (informations héritées)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IPv6 considérations pour AWS Client VPN

Client VPN prend désormais en charge la IPv6 connectivité native en plus des IPv4 fonctionnalités existantes. Vous pouvez créer des points de IPv6 terminaison uniquement, IPv4 uniquement ou à double pile (les deux IPv4 IPv6) pour répondre à vos exigences en matière de réseau.

Principaux éléments du IPv6 support

Lorsque vous travaillez avec IPv6 un Client VPN, il existe deux paramètres de configuration clés :

Type d'adresse IP du point de terminaison

Ce paramètre définit le type d'adresse IP de gestion du point de terminaison, qui détermine le type d' EC2 instance provisionnée pour le point de terminaison. Ce type d'IP est utilisé pour gérer le trafic du tunnel VPN externe (le trafic crypté qui circule entre le client et le serveur OpenVPN sur l'Internet public).

Type d'adresse IP de trafic

Ce paramètre définit le type de trafic qui passe par le tunnel VPN. Ce type d'IP est utilisé pour gérer le trafic chiffré interne (la charge utile réelle), les plages d'adresses CIDR des clients, les associations de sous-réseaux, les routes et les règles par point de terminaison.

IPv6 assignation CIDR au client

Pour IPv6 le CIDR client, il n'est pas nécessaire de spécifier un bloc CIDR. Amazon attribue automatiquement des plages d'adresses CIDR aux IPv6 clients. Cette attribution automatique permet d'éviter le trafic dans le IPv6 tunnel, offrant ainsi une meilleure visibilité sur l' IPv6 adresse de l'utilisateur connecté. SNATing

Exigences en matière de compatibilité

IPv6 et les points de terminaison à double pile dépendent des appareils des utilisateurs et des fournisseurs de services Internet () ISPs :

  • Les appareils utilisateur exécutant le client CVPN doivent prendre en charge la configuration IP requise, comme indiqué dans le tableau de compatibilité ci-dessous.

  • ISPs doit prendre en charge la configuration IP requise pour que la connexion fonctionne correctement.

  • Pour le IPv6 trafic à double pile, les sous-réseaux VPC associés doivent IPv6 avoir des plages CIDR ou à double pile.

Support DNS

Le DNS est pris en charge dans tous les types de points de terminaison : IPv4, IPv6, et Dual-Stack. Pour les IPv6 points de terminaison, vous pouvez configurer les serveurs IPv6 DNS à l'aide du --dns-server-ipv6 paramètre. Les enregistrements DNS AAAA sont pris en charge à la fois du côté du service et du côté client.

Limites

Les limites suivantes sont les suivantes IPv6 :

  • Client-to-client (C2C) la communication n'est pas prise en charge pour les IPv6 clients. Si un IPv6 client essaie de communiquer avec un autre IPv6 client, le trafic sera interrompu.

Application des itinéraires clients pour IPv6

Le VPN client prend désormais en charge l'application des itinéraires clients pour IPv6 le trafic. Cette fonctionnalité permet de garantir que le trafic IPv6 réseau provenant des clients connectés suit les itinéraires définis par l'administrateur et n'est pas envoyé par inadvertance en dehors du tunnel VPN.

Principaux aspects du soutien à la mise en œuvre de l'itinéraire des IPv6 clients :

  • Le ClientRouteEnforcementOptions.enforced drapeau existant active la CRE à la fois pour les piles IPv4 et pour les IPv6 piles.

  • IPv6 Client Route Enforcement exclut certaines IPv6 plages afin de maintenir des IPv6 fonctionnalités critiques :

    • ::1/128— Réservé au loopback

    • fe80::/10— Réservé aux adresses lien-local

    • ff00::/8— Réservé à la multidiffusion

  • IPv6 Client Route Enforcement est disponible dans les versions 5.3.0 et supérieures du client AWS VPN sous Windows, macOS et Ubuntu.

Pour des informations plus détaillées sur le CRE, notamment sur la façon de l'activer et de le configurer, consultezAWS Client VPN Application de l'itinéraire client.

IPv6 prévention des fuites (informations héritées)

Pour les anciennes configurations qui n'utilisent pas le IPv6 support natif, vous devrez peut-être tout de même empêcher les IPv6 fuites. IPv6 une fuite peut se produire lorsque les deux IPv4 IPv6 sont activés et connectés au VPN, mais le VPN n'achemine pas le IPv6 trafic vers son tunnel. Dans ce cas, lorsque vous vous connectez à une destination IPv6 activée, vous êtes toujours connecté avec l' IPv6 adresse fournie par votre fournisseur de services Internet. Cela divulguera votre véritable IPv6 adresse. Les instructions ci-dessous expliquent comment acheminer le IPv6 trafic vers le tunnel VPN.

Les directives IPv6 associées suivantes doivent être ajoutées au fichier de configuration de votre Client VPN pour éviter toute IPv6 fuite :

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

On pourrait utiliser l’exemple suivant :

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

Dans cet exemple, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 définira l'adresse du périphérique du tunnel local comme étant fd15:53b6:dead::2 et l' IPv6 adresse du point de terminaison IPv6 VPN distant comme étantfd15:53b6:dead::1.

La commande suivante route-ipv6 2000::/4 acheminera IPv6 les adresses de 2000:0000:0000:0000:0000:0000:0000:0000 à 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff vers vers la connexion VPN.

Note

Pour le routage des appareils « TAP » sous Windows par exemple, le deuxième paramètre de ifconfig-ipv6 sera utilisé comme cible d'itinéraire pour--route-ipv6.

Les organisations doivent configurer les deux paramètres de ifconfig-ipv6 elles-mêmes, et peuvent utiliser des adresses dans 100::/64 (de 0100:0000:0000:0000:0000:0000:0000:0000 vers 0100:0000:0000:0000:ffff:ffff:ffff:ffff) ou fc00::/7 (de fc00:0000:0000:0000:0000:0000:0000:0000 vers fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 est le bloc d'adresses ignorées uniquement, et fc00::/7 est local uniquement.

Voici un autre exemple  :

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

Dans cet exemple, la configuration acheminera tout le IPv6 trafic actuellement alloué vers la connexion VPN.

Vérification

Votre organisation aura probablement ses propres tests. Une vérification de base consiste à configurer une connexion VPN par tunnel complet, puis à exécuter ping6 sur un IPv6 serveur en utilisant l' IPv6adresse. L' IPv6 adresse du serveur doit être comprise dans la plage spécifiée par la route-ipv6 commande. Ce test ping devrait échouer. Toutefois, cela peut changer si le IPv6 support est ajouté au service VPN du Client à l'avenir. Si le ping réussit et que vous êtes en mesure d'accéder à des sites publics lorsque vous êtes connecté en mode tunnel complet, vous devrez peut-être effectuer un dépannage supplémentaire. Il existe également des outils accessibles au public.