에 대한 IPv6 고려 사항 AWS Client VPN - AWS Client VPN
IPv6 지원의 주요 구성 요소IPv6 클라이언트 CIDR 할당호환성 요구 사항DNS 지원제한 사항IPv6에 대한 클라이언트 라우팅 적용IPv6 누수 방지(레거시 정보)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 IPv6 고려 사항 AWS Client VPN

Client VPN은 이제 기존 IPv4 기능과 함께 네이티브 IPv6 연결을 지원합니다. IPv4 네트워킹 요구 사항을 충족하기 위해 IPv6-only, IPv4-only 또는 듀얼 스택(IPv4 및 IPv6 모두) 엔드포인트를 생성할 수 있습니다.

IPv6 지원의 주요 구성 요소

Client VPN에서 IPv6로 작업하는 경우 두 가지 주요 구성 파라미터가 있습니다.

엔드포인트 IP 주소 유형

이 파라미터는 엔드포인트에 프로비저닝된 EC2 인스턴스 유형을 결정하는 엔드포인트 관리 IP 유형을 정의합니다. 이 IP 유형은 외부 VPN 터널 트래픽(퍼블릭 인터넷을 통해 OpenVPN 클라이언트와 서버 간에 흐르는 암호화된 트래픽)을 관리하는 데 사용됩니다.

트래픽 IP 주소 유형

이 파라미터는 VPN 터널을 통해 흐르는 트래픽 유형을 정의합니다. 이 IP 유형은 암호화된 내부 트래픽(실제 페이로드), 클라이언트 CIDR 범위, 서브넷 연결, 경로 및 엔드포인트당 규칙을 관리하는 데 사용됩니다.

IPv6 클라이언트 CIDR 할당

IPv6 클라이언트 CIDR의 경우 CIDR 블록을 지정할 필요가 없습니다. Amazon은 IPv6 클라이언트에 CIDR 범위를 자동으로 할당합니다. 이 자동 할당을 사용하면 IPv6 터널 트래픽에 대해 SNATing 수 없으므로 연결된 사용자의 IPv6 주소에 대한 가시성이 향상됩니다.

호환성 요구 사항

IPv6 및 듀얼 스택 엔드포인트에는 사용자 디바이스 및 인터넷 서비스 공급자(ISPs.

  • CVPN 클라이언트를 실행하는 사용자 디바이스는 아래 호환성 표에 표시된 대로 필요한 IP 구성을 지원해야 합니다.

  • ISPs 연결이 제대로 작동하려면 필요한 IP 구성을 지원해야 합니다.

  • IPv6 또는 듀얼 스택 트래픽의 경우 연결된 VPC 서브넷에 IPv6 또는 듀얼 스택 CIDR 범위가 있어야 합니다.

DNS 지원

DNS는 IPv4, IPv6, 듀얼 스택 등 모든 유형의 엔드포인트에서 지원됩니다. IPv6 엔드포인트의 경우 --dns-server-ipv6 파라미터를 사용하여 IPv6 DNS 서버를 구성할 수 있습니다. AAAA DNS 레코드는 서비스 및 클라이언트 종단 모두에서 지원됩니다.

제한 사항

다음은 IPv6의 제한 사항입니다.

  • Client-to-client(C2C) 통신은 IPv6 클라이언트에서 지원되지 않습니다. IPv6 클라이언트가 다른 IPv6 클라이언트와 통신을 시도하면 트래픽이 삭제됩니다.

IPv6에 대한 클라이언트 라우팅 적용

Client VPN은 이제 IPv6 트래픽에 대한 클라이언트 라우팅 적용을 지원합니다. 이 기능은 연결된 클라이언트의 IPv6 네트워크 트래픽이 관리자가 정의한 경로를 따르고 실수로 VPN 터널 외부로 전송되지 않도록 하는 데 도움이 됩니다.

IPv6 클라이언트 라우팅 적용 지원의 주요 측면:

  • 기존 ClientRouteEnforcementOptions.enforced 플래그는 IPv4 스택과 IPv6 스택 모두에 대해 CRE를 활성화합니다.

  • IPv6 클라이언트 라우팅 적용은 중요한 IPv6 기능을 유지하기 위해 특정 IPv6 범위를 제외합니다.

    • ::1/128 - 루프백용으로 예약됨

    • fe80::/10 - 링크-로컬 주소에 대해 예약됨

    • ff00::/8 - 멀티캐스트용으로 예약됨

  • IPv6 클라이언트 라우팅 적용은 Windows, macOS 및 Ubuntu의 AWS VPN 클라이언트 버전 5.3.0 이상에서 사용할 수 있습니다.

활성화 및 구성 방법을 포함하여 CRE에 대한 자세한 내용은 섹션을 참조하세요AWS Client VPN 클라이언트 라우팅 적용.

IPv6 누수 방지(레거시 정보)

기본 IPv6 지원을 사용하지 않는 이전 구성의 경우 IPv6 누수를 방지해야 할 수 있습니다. IPv4와 IPv6를 모두 활성화하고 VPN에 연결하면 IPv6 누수가 발생할 수 있지만 VPN은 IPv6 트래픽을 터널로 라우팅하지 않습니다. 이 경우 IPv6 활성화 대상에 연결할 때 실제로는 ISP에서 제공한 IPv6 주소로 계속 연결되어 있습니다. 그러면 실제 IPv6 주소가 유출됩니다. 아래 지침은 IPv6 트래픽을 VPN 터널로 라우팅하는 방법에 대해 설명합니다.

IPv6 유출을 방지하려면 다음 IPv6 관련 지시문을 Client VPN 구성 파일에 추가해야 합니다.

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

예를 들면 다음과 같습니다.

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

이 예시에서 ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1은 로컬 터널 디바이스 IPv6 주소를 fd15:53b6:dead::2로, 원격 VPN 엔드포인트 IPv6 주소를 fd15:53b6:dead::1로 설정합니다.

다음 명령인 route-ipv6 2000::/4는 IPv6 주소(2000:0000:0000:0000:0000:0000:0000:0000~2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이)를 VPN 연결로 라우팅합니다.

참고

예를 들어 Windows의 "TAP" 디바이스 라우팅의 경우의 두 번째 파라미터ifconfig-ipv6가의 라우팅 대상으로 사용됩니다--route-ipv6.

조직들은 ifconfig-ipv6의 파라미터 두 개를 직접 구성해야 하며 100::/64의 주소(0100:0000:0000:0000:0000:0000:0000:0000~0100:0000:0000:0000:ffff:ffff:ffff:ffff 사이) 또는 fc00::/7(fc00:0000:0000:0000:0000:0000:0000:0000~fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이) 주소를 사용할 수 있습니다. 100::/64는 Discard-Only 주소 블록이고 fc00::/7은 Unique-Local입니다.

또 다른 예시:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

이 예시에서 구성은 현재 할당된 모든 IPv6 트래픽을 VPN 연결로 라우팅합니다.

확인

조직에는 자체 테스트가 있을 수 있습니다. 기본 확인은 전체 터널 VPN 연결을 설정한 다음 IPv6 주소를 사용하여 IPv6 서버를 향해 ping6을 실행하는 것입니다. 서버의 IPv6 주소는 route-ipv6 명령에 의해 지정된 범위에 있어야 합니다. 이 ping 테스트는 실패해야 합니다. 그러나 나중에 IPv6 지원이 Client VPN 서비스에 추가되는 경우 이는 변경될 수 있습니다. ping이 성공하고 전체 터널 모드로 연결되었을 때 퍼블릭 사이트에 액세스할 수 있는 경우 문제 해결을 추가로 수행해야 할 수도 있습니다. 공개적으로 사용할 수 있는 도구도 몇 가지 있습니다.