IPv6 に関する考慮事項 - AWS クライアント VPN

IPv6 に関する考慮事項

現在、クライアント VPN サービスは、VPN トンネルを経由する IPv6 トラフィックのルーティングをサポートしていません。ただし、IPv6 のリークを防ぐために、IPv6 トラフィックを VPN トンネルにルーティングする必要がある場合があります。IPv6 リークは、IPv4 と IPv6 の両方が有効で VPN に接続されているが、VPN が IPv6 トラフィックをトンネルにルーティングしない場合に発生する可能性があります。この場合、IPv6 が有効な送信先に接続したときに、ISP から提供された IPv6 アドレスを使用して接続していることになります。これにより、実際の IPv6 アドレスがリークします。次の手順では、IPv6 トラフィックを VPN トンネルにルーティングする方法について説明します。

IPv6 リークを防ぐために、次の IPv6 関連のディレクティブをクライアント VPN 設定ファイルに追加する必要があります。

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

次の例のようになります。

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

この例では、ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 によって、ローカルトンネルデバイスの IPv6 アドレスが fd15:53b6:dead::2 に設定され、リモート VPN エンドポイント IPv6 アドレスが fd15:53b6:dead::1 に設定されます。

次のコマンド route-ipv6 2000::/4 は、2000:0000:0000:0000:0000:0000:0000:0000 から 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff の IPv6 アドレスを VPN 接続にルーティングします。

注記

例えば、Windows の「TAP」デバイスルーティングの場合、ifconfig-ipv6 の 2 つ目のパラメータが --route-ipv6 のルートターゲットとして使用されます。

Organizations では、ifconfig-ipv6 の 2 つのパラメータを自身で設定する必要があり、100::/64 (0100:0000:0000:0000:0000:0000:0000:0000 から 0100:0000:0000:0000:ffff:ffff:ffff:ffff) または fc00::/7 (fc00:0000:0000:0000:0000:0000:0000:0000 から fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) のアドレスを使用できます。100::/64 は破棄専用アドレスブロックであり、fc00::/7 は一意ローカルです。

別の例を紹介します。

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

この例では、設定により、現在割り当てられているすべての IPv6 トラフィックが VPN 接続にルーティングされます。

Verification

ご自身の組織で独自のテストを実施することになるでしょう。基本的な検証は、フルトンネル VPN 接続を設定してから、IPv6 アドレスを使用して IPv6 サーバーに対して ping6 を実行することです。サーバーの IPv6 アドレスは、route-ipv6 コマンドによって指定された範囲内にある必要があります。この ping テストは失敗します。ただし、将来的に IPv6 サポートがクライアント VPN サービスに追加された場合は変わる可能性があります。ping が成功し、フルトンネルモードで接続しているときにパブリックサイトにアクセスできる場合は、さらにトラブルシューティングを行う必要があります。また、ipleak.org などの公開されているツールを使ってテストすることもできます。