Consideraciones sobre IPv6 para AWS Client VPN - AWS Client VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones sobre IPv6 para AWS Client VPN

Actualmente, el servicio Client VPN no admite el enrutamiento del tráfico IPv6 a través del túnel VPN. Sin embargo, hay casos en los que el tráfico IPv6 debe enrutarse al túnel VPN para evitar fugas de IPv6. La fuga de IPv6 puede ocurrir cuando IPv4 e IPv6 están habilitados y conectados a la VPN, pero la VPN no enruta el tráfico IPv6 a su túnel. En este caso, cuando se conecta a un destino habilitado para IPv6, todavía se está conectando con su dirección IPv6 proporcionada por su ISP. Esto filtrará su dirección IPv6 real. Las siguientes instrucciones explican cómo enrutar el tráfico IPv6 al túnel VPN.

Las siguientes directivas relacionadas con IPv6 deben agregarse al archivo de configuración de Client VPN para evitar fugas de IPv6:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Por ejemplo:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

En este ejemplo, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 configurará la dirección IPv6 del dispositivo de túnel local como fd15:53b6:dead::2 y la dirección IPv6 del punto de enlace VPN remoto como fd15:53b6:dead::1.

El siguiente comando, route-ipv6 2000::/4 enrutará las direcciones IPv6 de 2000:0000:0000:0000:0000:0000:0000:0000 a 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff en la conexión de VPN.

nota

Para el enrutamiento de dispositivos “TAP” en Windows, por ejemplo, el segundo parámetro de ifconfig-ipv6 se usará como destino de ruta para --route-ipv6.

Las organizaciones deben configurar los dos parámetros de ifconfig-ipv6 ellos mismos, y pueden usar direcciones en 100::/64 (de 0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) o fc00::/7 (de fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 es un bloque de direcciones de descarte únicamente, y fc00::/7 es local y único.

Otro ejemplo.

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

En este ejemplo, la configuración enrutará todo el tráfico IPv6 asignado actualmente a la conexión de VPN.

Verification (Verificación)

Es probable que su organización tenga sus propias pruebas. Una verificación básica consiste en configurar una conexión de VPN de túnel completa y, a continuación, ejecutar ping6 en un servidor IPv6 utilizando la dirección IPv6. La dirección IPv6 del servidor debe estar en el rango especificado por el comando route-ipv6. Esta prueba de ping debería fallar. Sin embargo, esto puede cambiar si la compatibilidad con IPv6 se agrega al servicio de Client VPN en el futuro. Si el ping se realiza correctamente y puede acceder a sitios públicos cuando está conectado en modo túnel completo, es posible que tenga que hacer pruebas para solucionar el problema. También puede probar usando algunas herramientas disponibles públicamente como ipleak.org.