IPv6 pertimbangan untuk AWS Client VPN - AWS Client VPN
Komponen kunci IPv6 dukunganIPv6 tugas CIDR klienPersyaratan kompatibilitasSupport DNSBatasanPenegakan Rute Klien untuk IPv6IPv6 pencegahan kebocoran (informasi warisan)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IPv6 pertimbangan untuk AWS Client VPN

Client VPN sekarang mendukung IPv6 konektivitas asli bersama IPv4 kemampuan yang ada. Anda dapat membuat titik akhir IPv6 -only, IPv4 -only, atau dual-stack (keduanya IPv4 dan IPv6) untuk memenuhi persyaratan jaringan Anda.

Komponen kunci IPv6 dukungan

Saat bekerja dengan IPv6 di Client VPN, ada dua parameter konfigurasi utama:

Jenis alamat IP titik akhir

Parameter ini mendefinisikan tipe IP manajemen endpoint, yang menentukan jenis EC2 instance yang disediakan untuk titik akhir. Jenis IP ini digunakan untuk mengelola lalu lintas terowongan VPN luar (lalu lintas terenkripsi yang mengalir antara klien OpenVPN dan server melalui internet publik).

Jenis alamat IP lalu lintas

Parameter ini mendefinisikan jenis lalu lintas yang mengalir melalui terowongan VPN. Jenis IP ini digunakan untuk mengelola lalu lintas terenkripsi dalam (muatan aktual), rentang CIDR klien, asosiasi subnet, rute, dan aturan per titik akhir.

IPv6 tugas CIDR klien

Untuk CIDR IPv6 klien, Anda tidak perlu menentukan blok CIDR. Amazon secara otomatis menetapkan rentang CIDR untuk IPv6 klien. Penetapan otomatis ini memungkinkan tidak ada lalu lintas SNATing IPv6 terowongan, memberikan visibilitas yang ditingkatkan ke alamat pengguna yang terhubung. IPv6

Persyaratan kompatibilitas

IPv6 dan titik akhir tumpukan ganda memiliki ketergantungan pada perangkat pengguna dan penyedia layanan internet (): ISPs

  • Perangkat pengguna yang menjalankan klien CVPN harus mendukung konfigurasi IP yang diperlukan seperti yang ditunjukkan pada tabel kompatibilitas di bawah ini.

  • ISPs harus mendukung konfigurasi IP yang diperlukan agar koneksi berfungsi dengan baik.

  • Untuk lalu lintas tumpukan ganda, subnet VPC terkait harus memiliki IPv6 IPv6 atau rentang CIDR tumpukan ganda.

Support DNS

DNS didukung di semua jenis endpoint - IPv4, IPv6, dan dual-stack. Untuk IPv6 titik akhir, Anda dapat mengonfigurasi server IPv6 DNS menggunakan parameter. --dns-server-ipv6 Catatan DNS AAAA didukung pada layanan dan akhir klien.

Batasan

Berikut ini adalah keterbatasan dengan IPv6:

  • Client-to-client (C2C) komunikasi tidak didukung untuk IPv6 klien. Jika IPv6 klien mencoba berkomunikasi dengan IPv6 klien lain, lalu lintas akan turun.

Penegakan Rute Klien untuk IPv6

Client VPN sekarang mendukung Penegakan Rute Klien untuk IPv6 lalu lintas. Fitur ini membantu memastikan bahwa lalu lintas IPv6 jaringan dari klien yang terhubung mengikuti rute yang ditentukan oleh administrator dan tidak secara tidak sengaja dikirim ke luar terowongan VPN.

Aspek kunci dari dukungan Penegakan Rute IPv6 Klien:

  • ClientRouteEnforcementOptions.enforcedBendera yang ada memungkinkan CRE untuk keduanya IPv4 dan IPv6 tumpukan.

  • IPv6 Penegakan Rute Klien mengecualikan IPv6 rentang tertentu untuk mempertahankan IPv6 fungsionalitas penting:

    • ::1/128— Dicadangkan untuk loopback

    • fe80::/10— Dicadangkan untuk alamat link-lokal

    • ff00::/8— Dicadangkan untuk multicast

  • IPv6 Client Route Enforcement tersedia di AWS VPN Client versi 5.3.0 dan lebih tinggi di Windows, macOS, dan Ubuntu.

Untuk informasi lebih rinci tentang CRE, termasuk cara mengaktifkan dan mengonfigurasinya, lihatAWS Client VPN Penegakan Rute Klien.

IPv6 pencegahan kebocoran (informasi warisan)

Untuk konfigurasi lama yang tidak menggunakan IPv6 dukungan asli, Anda mungkin masih perlu mencegah IPv6 kebocoran. IPv6 kebocoran dapat terjadi ketika keduanya diaktifkan IPv4 dan IPv6 terhubung ke VPN, tetapi VPN tidak mengarahkan IPv6 lalu lintas ke terowongannya. Dalam hal ini, saat menghubungkan ke tujuan yang IPv6 diaktifkan, Anda sebenarnya masih terhubung dengan IPv6 alamat yang disediakan oleh ISP Anda. Ini akan membocorkan IPv6 alamat asli Anda. Petunjuk di bawah ini menjelaskan cara merutekan IPv6 lalu lintas ke terowongan VPN.

Arahan IPv6 terkait berikut harus ditambahkan ke file konfigurasi Client VPN Anda untuk mencegah IPv6 kebocoran:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Contohnya mungkin:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

Dalam contoh ini, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 akan mengatur IPv6 alamat perangkat terowongan lokal menjadi fd15:53b6:dead::2 dan IPv6 alamat titik akhir VPN jarak jauh menjadifd15:53b6:dead::1.

Perintah berikutnya, route-ipv6 2000::/4 akan merutekan IPv6 alamat dari 2000:0000:0000:0000:0000:0000:0000:0000 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff ke ke koneksi VPN.

catatan

Untuk perutean perangkat “TAP” di Windows misalnya, parameter kedua ifconfig-ipv6 akan digunakan sebagai target rute untuk--route-ipv6.

Organizations harus mengkonfigurasi dua parameter ifconfig-ipv6 itu sendiri, dan dapat menggunakan alamat di 100::/64 (dari 0100:0000:0000:0000:0000:0000:0000:0000 ke0100:0000:0000:0000:ffff:ffff:ffff:ffff) atau fc00::/7 (dari fc00:0000:0000:0000:0000:0000:0000:0000 kefdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64adalah Blok Alamat Hanya Buang, dan fc00::/7 Unik-Lokal.

Contoh lain:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

Dalam contoh ini, konfigurasi akan merutekan semua IPv6 lalu lintas yang saat ini dialokasikan ke koneksi VPN.

Verifikasi

Organisasi Anda kemungkinan akan memiliki tes sendiri. Verifikasi dasar adalah mengatur koneksi VPN terowongan penuh, lalu jalankan ping6 ke IPv6 server menggunakan alamat. IPv6 IPv6 Alamat server harus dalam kisaran yang ditentukan oleh route-ipv6 perintah. Tes ping ini seharusnya gagal. Namun, ini dapat berubah jika IPv6 dukungan ditambahkan ke layanan Client VPN di masa mendatang. Jika ping berhasil dan Anda dapat mengakses situs publik saat terhubung dalam mode terowongan penuh, Anda mungkin perlu melakukan pemecahan masalah lebih lanjut. Ada juga beberapa alat yang tersedia untuk umum.