Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Considérations relatives à IPv6 pour AWS Client VPN
Actuellement, le service Client VPN ne prend pas en charge l’acheminement du trafic IPv6 via le tunnel VPN. Cependant, dans certains cas, le trafic IPv6 doit être acheminé dans le tunnel VPN pour éviter les fuites IPv6. Une fuite IPv6 peut se produire lorsque IPv4 et IPv6 sont activés et connectés au VPN, mais que le VPN n'achemine pas le trafic IPv6 dans son tunnel. Dans ce cas, lorsque vous vous connectez à une destination IPv6 activée, vous continuez à vous connecter avec votre adresse IPv6 fournie par votre fournisseur de services Internet. Cela va entraîner une fuite de votre adresse IPv6 réelle. Les instructions ci-dessous expliquent comment acheminer le trafic IPv6 dans le tunnel VPN.
Les directives IPv6 suivantes doivent être ajoutées à votre fichier de configuration Client VPN pour éviter les fuites IPv6 :
ifconfig-ipv6 arg0 arg1 route-ipv6 arg0
On pourrait utiliser l’exemple suivant :
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/4
Dans cet exemple,ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
définit l'adresse IPv6 du périphérique de tunnel local sur fd15:53b6:dead::2
et l'adresse IPv6 du point de terminaison VPN distant sur fd15:53b6:dead::1
.
Avec la commande suivante, route-ipv6 2000::/4
acheminera les adresses IPv6 depuis 2000:0000:0000:0000:0000:0000:0000:0000
vers 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
dans la connexion VPN.
Note
Pour l’acheminement de périphérique « TAP » dans Windows par exemple, le deuxième paramètre de ifconfig-ipv6
sera utilisé comme cible d'acheminement pour --route-ipv6
.
Les organisations doivent configurer les deux paramètres de ifconfig-ipv6
elles-mêmes, et peuvent utiliser des adresses dans 100::/64
(de 0100:0000:0000:0000:0000:0000:0000:0000
vers 0100:0000:0000:0000:ffff:ffff:ffff:ffff
) ou fc00::/7
(de fc00:0000:0000:0000:0000:0000:0000:0000
vers fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
). 100::/64
est le bloc d'adresses ignorées uniquement, et fc00::/7
est local uniquement.
Voici un autre exemple :
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/3 route-ipv6 fc00::/7
Dans cet exemple, la configuration achemine tout le trafic IPv6 actuellement alloué vers la connexion VPN.
Vérification
Votre organisation aura probablement ses propres tests. Une vérification de base consiste à configurer une connexion VPN de tunnel complet, puis à exécuter ping6 sur un serveur IPv6 à l'aide de l'adresse IPv6. L'adresse IPv6 du serveur doit se situer dans la plage spécifiée par la commande route-ipv6
. Ce test ping devrait échouer. Toutefois, cela peut changer si la prise en charge IPv6 est ajoutée au service Client VPN à l'avenir. Si le ping réussit et que vous êtes en mesure d'accéder à des sites publics lorsque vous êtes connecté en mode tunnel complet, vous devrez peut-être effectuer un dépannage supplémentaire. Vous pouvez également effectuer le test en utilisant des outils accessibles au public tels que ipleak.org