IPv6 considerazioni per AWS Client VPN - AWS Client VPN
IPv6 Componenti chiave del supportoIPv6 assegnazione CIDR del clientRequisiti di compatibilitàSupporto DNSLimitazioniClient Routes Enforcement per IPv6IPv6 prevenzione delle fughe (informazioni precedenti)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IPv6 considerazioni per AWS Client VPN

Client VPN ora supporta la IPv6 connettività nativa oltre alle IPv4 funzionalità esistenti. Puoi creare endpoint IPv6 -only, IPv4 -only o dual-stack (entrambi IPv4 e IPv6) per soddisfare i tuoi requisiti di rete.

IPv6 Componenti chiave del supporto

Quando si lavora con IPv6 Client VPN, esistono due parametri di configurazione chiave:

Tipo di indirizzo IP dell'endpoint

Questo parametro definisce il tipo di IP di gestione degli endpoint, che determina il tipo di EC2 istanza fornita per l'endpoint. Questo tipo di IP viene utilizzato per gestire il traffico del tunnel VPN esterno (il traffico crittografato che scorre tra il client e il server OpenVPN sulla rete Internet pubblica).

Tipo di indirizzo IP del traffico

Questo parametro definisce il tipo di traffico che attraversa il tunnel VPN. Questo tipo di IP viene utilizzato per gestire il traffico crittografato interno (il payload effettivo), gli intervalli CIDR dei client, l'associazione di sottoreti, i percorsi e le regole per endpoint.

IPv6 assegnazione CIDR del client

Per IPv6 il client CIDR, non è necessario specificare un blocco CIDR. Amazon assegna automaticamente gli intervalli CIDR ai IPv6 clienti. Questa assegnazione automatica consente l'esclusione IPv6 del traffico dal tunnel, fornendo una maggiore visibilità sull'indirizzo dell' IPv6 utente connesso. SNATing

Requisiti di compatibilità

IPv6 e gli endpoint dual-stack dipendono dai dispositivi degli utenti e dai provider di servizi Internet (): ISPs

  • I dispositivi utente che eseguono il client CVPN devono supportare la configurazione IP richiesta, come mostrato nella tabella di compatibilità riportata di seguito.

  • ISPs devono supportare la configurazione IP richiesta per il corretto funzionamento della connessione.

  • Per il traffico dual-stack, le sottoreti VPC associate devono avere intervalli IPv6 CIDR dual-stack. IPv6

Supporto DNS

Il DNS è supportato in tutti i tipi di endpoint e dual-stack. IPv4 IPv6 Per gli IPv6 endpoint, puoi configurare IPv6 i server DNS utilizzando il parametro. --dns-server-ipv6 I record DNS AAAA sono supportati sia sul lato del servizio che sul lato client.

Limitazioni

Di seguito sono riportate le limitazioni relative a: IPv6

  • Client-to-client (C2C) la comunicazione non è supportata per i IPv6 client. Se un IPv6 client tenta di comunicare con un altro IPv6 client, il traffico verrà interrotto.

Client Routes Enforcement per IPv6

Client VPN ora supporta Client Routes Enforcement per IPv6 il traffico. Questa funzionalità aiuta a garantire che il traffico di IPv6 rete proveniente dai client connessi segua i percorsi definiti dall'amministratore e non venga inviato inavvertitamente all'esterno del tunnel VPN.

Aspetti chiave del supporto di IPv6 Client Route Enforcement:

  • Il ClientRouteEnforcementOptions.enforced flag esistente abilita CRE sia per gli stack che per IPv4 gli IPv6 stack.

  • IPv6 Client Route Enforcement esclude determinati IPv6 intervalli per mantenere le funzionalità critiche: IPv6

    • ::1/128— Riservato al loopback

    • fe80::/10— Riservato agli indirizzi locali del collegamento

    • ff00::/8— Riservato al multicast

  • IPv6 Client Route Enforcement è disponibile nella versione 5.3.0 e successive di AWS VPN Client su Windows, macOS e Ubuntu.

Per informazioni più dettagliate su CRE, incluso come abilitarlo e configurarlo, consulta. AWS Client VPN Applicazione del percorso del client

IPv6 prevenzione delle fughe (informazioni precedenti)

Per le configurazioni precedenti che non utilizzano il IPv6 supporto nativo, potrebbe comunque essere necessario prevenire eventuali IPv6 fughe di dati. IPv6 le perdite possono verificarsi quando entrambe IPv4 IPv6 sono abilitate e connesse alla VPN, ma la VPN non instrada il IPv6 traffico nel suo tunnel. In questo caso, quando ti connetti a una destinazione IPv6 abilitata, in realtà continui a connetterti con IPv6 l'indirizzo fornito dal tuo ISP. Ciò farà trapelare il tuo vero IPv6 indirizzo. Le istruzioni riportate di seguito spiegano come indirizzare il IPv6 traffico verso il tunnel VPN.

Le seguenti IPv6 direttive relative devono essere aggiunte al file di configurazione di Client VPN per evitare IPv6 perdite:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Un esempio potrebbe essere:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

In questo esempio, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 imposterà come indirizzo del dispositivo del tunnel locale fd15:53b6:dead::2 e come IPv6 indirizzo dell'endpoint IPv6 VPN remoto. fd15:53b6:dead::1

Il comando successivo route-ipv6 2000::/4 indirizzerà IPv6 gli indirizzi da 2000:0000:0000:0000:0000:0000:0000:0000 a 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff alla connessione VPN.

Nota

Ad esempio, per il routing dei dispositivi «TAP» in Windows, il secondo parametro di ifconfig-ipv6 verrà utilizzato come destinazione del percorso per--route-ipv6.

Le organizzazioni devono configurare i due parametri di ifconfig-ipv6 in autonomia e possono utilizzare gli indirizzi in 100::/64 (da 0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) o fc00::/7 (da fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 è Blocco di indirizzi di sola lettura, mentre fc00::/7 è Unico-Locale.

Un altro esempio:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

In questo esempio, la configurazione indirizzerà tutto il IPv6 traffico attualmente allocato verso la connessione VPN.

Verifica

L'organizzazione eseguirà probabilmente i propri test. Una verifica di base consiste nel configurare una connessione VPN a tunnel completo, quindi eseguire ping6 su un IPv6 server utilizzando l'indirizzo. IPv6 L' IPv6 indirizzo del server deve essere compreso nell'intervallo specificato dal route-ipv6 comando. Questo test ping dovrebbe fallire. Tuttavia, ciò potrebbe cambiare se in futuro verrà aggiunto il IPv6 supporto al servizio Client VPN. Se il ping ha esito positivo e si è in grado di accedere a siti pubblici quando si è connessi in modalità tunnel completa, potrebbe essere necessario eseguire ulteriori operazioni di risoluzione dei problemi. Esistono anche alcuni strumenti disponibili al pubblico.