Überlegungen zu IPv6 für AWS Client VPN - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zu IPv6 für AWS Client VPN

Derzeit unterstützt der Client-VPN-Service das Routing von IPv6-Datenverkehr durch den VPN-Tunnel nicht. Es gibt jedoch Fälle, in denen IPv6-Datenverkehr in den VPN-Tunnel geroutet werden sollte, um ein IPv6-Leck zu verhindern. Ein IPv6-Leck kann auftreten, wenn sowohl IPv4 als auch IPv6 aktiviert und mit dem VPN verbunden sind, aber das VPN keinen IPv6-Datenverkehr in seinen Tunnel leitet. Wenn Sie in diesem Fall eine Verbindung zu einem IPv6-aktivierten Ziel herstellen, stellen Sie tatsächlich immer noch eine Verbindung mit Ihrer IPv6-Adresse her, die von Ihrem ISP bereitgestellt wird. Dadurch wird Ihre echte IPv6-Adresse lecken. In den folgenden Anweisungen wird erläutert, wie IPv6-Datenverkehr in den VPN-Tunnel weitergeleitet wird.

Die folgenden IPv6-bezogenen Direktiven sollten der Client-VPN-Konfigurationsdatei hinzugefügt werden, um ein IPv6-Leck zu verhindern:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Ein Beispiel könnte sein:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

In diesem Beispiel setzt ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 die IPv6-Adresse des lokalen Tunnelgeräts auf fd15:53b6:dead::2 und die IPv6-Adresse des Remote-VPN-Endpunkts auf fd15:53b6:dead::1.

Mit dem nächsten Befehl wird route-ipv6 2000::/4 IPv6-Adressen von 2000:0000:0000:0000:0000:0000:0000:0000 auf 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff in die VPN-Verbindung routen.

Anmerkung

Für das „TAP“-Geräterouting in Windows wird beispielsweise der zweite Parameter von ifconfig-ipv6 als Routenziel für --route-ipv6 genutzt.

Organisationen sollten die beiden Parameter von ifconfig-ipv6 selbst konfigurieren und können Adressen in 100::/64 (von 0100:0000:0000:0000:0000:0000:0000:0000 bis 0100:0000:0000:0000:ffff:ffff:ffff:ffff) oder fc00::/7 (von fc00:0000:0000:0000:0000:0000:0000:0000 bis fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) verwenden. 100::/64 ist ein Nur-Verwerf-Addressblock und fc00::/7 ist eindeutig-lokal.

Ein weiteres Beispiel:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

In diesem Beispiel leitet die Konfiguration den derzeit zugewiesenen IPv6-Datenverkehr an die VPN-Verbindung weiter.

Verifizierung

Ihre Organisation wird wahrscheinlich eigene Tests haben. Eine grundlegende Überprüfung besteht darin, eine vollständige Tunnel-VPN-Verbindung einzurichten und dann ping6 zu einem IPv6-Server unter Verwendung der IPv6-Adresse auszuführen. Die IPv6-Adresse des Servers sollte in dem vom route-ipv6-Befehl angegebenen Bereich liegen. Dieser Ping-Test sollte fehlschlagen. Dies kann sich jedoch ändern, wenn dem Client-VPN-Service in Zukunft IPv6-Unterstützung hinzugefügt wird. Wenn der Ping erfolgreich ist und Sie auf öffentliche Websites zugreifen können, wenn Sie im Voll-Tunnelmodus verbunden sind, müssen Sie möglicherweise weitere Fehlerbehebungen durchführen. Sie können auch testen, indem Sie einige öffentlich verfügbare Tools wie ipleak.org nutzen.