As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
IPv6 considerações para AWS Client VPN
O Client VPN agora oferece suporte à IPv6 conectividade nativa junto com os IPv4 recursos existentes. Você pode criar endpoints IPv6 -only, IPv4 -only ou dual-stack (ambos IPv4 e IPv6) para atender às suas necessidades de rede.
Componentes-chave do IPv6 suporte
Ao trabalhar com IPv6 o Client VPN, há dois parâmetros principais de configuração:
- Tipo de endereço IP do endpoint
-
Esse parâmetro define o tipo de IP de gerenciamento do endpoint, que determina o tipo de EC2 instância provisionada para o endpoint. Esse tipo de IP é usado para gerenciar o tráfego externo do túnel VPN (o tráfego criptografado que flui entre o cliente e o servidor OpenVPN pela Internet pública).
- Tipo de endereço IP de tráfego
-
Esse parâmetro define o tipo de tráfego que flui pelo túnel VPN. Esse tipo de IP é usado para gerenciar tráfego criptografado interno (a carga real), intervalos de CIDR do cliente, associação de sub-rede, rotas e regras por endpoint.
IPv6 atribuição de CIDR de cliente
Para IPv6 o CIDR do cliente, você não precisa especificar um bloco CIDR. A Amazon atribui automaticamente intervalos de CIDR aos clientes. IPv6 Essa atribuição automática permite que não haja tráfego em IPv6 túneis, fornecendo maior visibilidade do endereço do IPv6 usuário conectado. SNATing
Requisitos de compatibilidade
IPv6 e os endpoints de pilha dupla dependem dos dispositivos do usuário e dos provedores de serviços de Internet (): ISPs
-
Os dispositivos do usuário que executam o cliente CVPN devem suportar a configuração IP necessária, conforme mostrado na tabela de compatibilidade abaixo.
-
ISPs deve suportar a configuração IP necessária para que a conexão funcione corretamente.
-
Para tráfego de pilha dupla IPv6 ou de pilha dupla, as sub-redes VPC associadas devem ter intervalos CIDR de pilha dupla. IPv6
Suporte a DNS
O DNS é compatível com todos os tipos de endpoints - IPv4, IPv6, e dual-stack. Para IPv6 endpoints, você pode configurar servidores IPv6 DNS usando o --dns-server-ipv6 parâmetro. Os registros DNS AAAA são suportados tanto no serviço quanto no cliente.
Limitações
A seguir estão as limitações com IPv6:
-
Client-to-client A comunicação (C2C) não é suportada por IPv6 clientes. Se um IPv6 cliente tentar se comunicar com outro IPv6 cliente, o tráfego será interrompido.
Aplicação de rotas do cliente para IPv6
O Client VPN agora oferece suporte ao Client Routes Enforcement para IPv6 tráfego. Esse recurso ajuda a garantir que o tráfego de IPv6 rede dos clientes conectados siga as rotas definidas pelo administrador e não seja enviado inadvertidamente para fora do túnel VPN.
Principais aspectos do suporte IPv6 ao Client Route Enforcement:
-
O
ClientRouteEnforcementOptions.enforcedsinalizador existente habilita o CRE para ambas as IPv4 IPv6 pilhas. -
IPv6 O Client Route Enforcement exclui certos IPv6 intervalos para manter IPv6 funcionalidades críticas:
::1/128— Reservado para loopbackfe80::/10— Reservado para endereços locais de linkff00::/8— Reservado para multicast
-
IPv6 O Client Route Enforcement está disponível na versão 5.3.0 e superior do AWS VPN Client no Windows, macOS e Ubuntu.
Para obter informações mais detalhadas sobre o CRE, incluindo como habilitá-lo e configurá-lo, consulteAWS Client VPN Aplicação da rota do cliente.
IPv6 prevenção de vazamentos (informações antigas)
Para configurações mais antigas que não usam o IPv6 suporte nativo, talvez você ainda precise evitar IPv6 vazamentos. IPv6 O vazamento pode ocorrer quando ambos IPv4 IPv6 estão habilitados e conectados à VPN, mas a VPN não direciona o IPv6 tráfego para seu túnel. Nesse caso, ao se conectar a um destino IPv6 habilitado, você ainda está se conectando com o IPv6 endereço fornecido pelo seu ISP. Isso vazará seu IPv6 endereço real. As instruções abaixo explicam como rotear o IPv6 tráfego para o túnel VPN.
As seguintes diretivas IPv6 relacionadas devem ser adicionadas ao seu arquivo de configuração do Client VPN para evitar IPv6 vazamentos:
ifconfig-ipv6 arg0 arg1 route-ipv6 arg0
Um exemplo pode ser:
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/4
Neste exemplo, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 definirá o endereço do dispositivo de túnel local como sendo fd15:53b6:dead::2 e o IPv6 endereço do endpoint IPv6 VPN remoto como sendofd15:53b6:dead::1.
O próximo comando route-ipv6 2000::/4 roteará IPv6 os endereços de 2000:0000:0000:0000:0000:0000:0000:0000 para 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff dentro da conexão VPN.
nota
Para roteamento de dispositivos “TAP” no Windows, por exemplo, o segundo parâmetro de ifconfig-ipv6 será usado como destino de rota para--route-ipv6.
As próprias organizações devem configurar os dois parâmetros de ifconfig-ipv6 e podem usar endereços em 100::/64 (de0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) ou fc00::/7 (de fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 é um bloco de endereços somente para descarte e fc00::/7 é exclusivo no local.
Outro exemplo:
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/3 route-ipv6 fc00::/7
Neste exemplo, a configuração roteará todo o IPv6 tráfego atualmente alocado para a conexão VPN.
Verificação
Provavelmente, sua organização terá os próprios testes. Uma verificação básica é configurar uma conexão VPN de túnel completo e, em seguida, executar o ping6 em um IPv6 servidor usando o IPv6 endereço. O IPv6 endereço do servidor deve estar no intervalo especificado pelo route-ipv6 comando. Esse teste de ping deve falhar. No entanto, isso pode mudar se o IPv6 suporte for adicionado ao serviço Client VPN no futuro. Se o ping for bem-sucedido e você conseguir acessar sites públicos quando conectado no modo de túnel completo, talvez seja necessário fazer mais uma solução de problemas. Também existem algumas ferramentas disponíveis publicamente.
