Considerazioni IPv6 per AWS Client VPN - AWS Client VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni IPv6 per AWS Client VPN

Attualmente il servizio Client VPN non supporta il routing del traffico IPv6 attraverso il tunnel VPN. Tuttavia, ci sono casi in cui il traffico IPv6 deve essere instradato nel tunnel VPN per evitare perdite IPv6. La perdita IPv6 può verificarsi quando sia IPv4 sia IPv6 sono abilitati e connessi alla VPN, ma la VPN non instrada il traffico IPv6 nel suo tunnel. In questo caso, quando ci si connette a una destinazione abilitata per IPv6, si sta ancora effettuando la connessione con l'indirizzo IPv6 fornito dall'ISP. Questo lascerà trapelare il tuo vero indirizzo IPv6. Le istruzioni riportate di seguito spiegano come instradare il traffico IPv6 nel tunnel VPN.

Le seguenti direttive relative a IPv6 devono essere aggiunte al file di configurazione Client VPN per evitare perdite IPv6:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Un esempio potrebbe essere:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

In questo esempio, ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 imposterà l'indirizzo IPv6 del dispositivo del tunnel locale su fd15:53b6:dead::2 e l'indirizzo IPv6 dell'endpoint VPN remoto su fd15:53b6:dead::1.

Il comando successivo, route-ipv6 2000::/4, instraderà gli indirizzi IPv6 da 2000:0000:0000:0000:0000:0000:0000:0000 a 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff nella connessione VPN.

Nota

Per il routing dei dispositivi "TAP" in Windows, ad esempio, il secondo parametro di ifconfig-ipv6 verrà utilizzato come target di route per --route-ipv6.

Le organizzazioni devono configurare i due parametri di ifconfig-ipv6 in autonomia e possono utilizzare gli indirizzi in 100::/64 (da 0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) o fc00::/7 (da fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 è Blocco di indirizzi di sola lettura, mentre fc00::/7 è Unico-Locale.

Un altro esempio:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

In questo esempio, la configurazione instraderà tutto il traffico IPv6 attualmente allocato alla connessione VPN.

Verifica

L'organizzazione eseguirà probabilmente i propri test. Una verifica di base consiste nell'impostare una connessione VPN completa del tunnel, quindi eseguire ping6 su un server IPv6 utilizzando l'indirizzo IPv6. L'indirizzo IPv6 del server deve essere compreso nell'intervallo specificato dal comando route-ipv6. Questo test ping dovrebbe fallire. Tuttavia, questo potrebbe cambiare se in futuro il supporto IPv6 verrà aggiunto al servizio Client VPN. Se il ping ha esito positivo e si è in grado di accedere a siti pubblici quando si è connessi in modalità tunnel completa, potrebbe essere necessario eseguire ulteriori operazioni di risoluzione dei problemi. Puoi anche eseguire i test utilizzando alcuni strumenti disponibili pubblicamente come ipleak.org.