기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Client VPN에 대한 IPv6 고려 사항
현재 Client VPN 서비스는 VPN 터널을 통한 IPv6 트래픽 라우팅을 지원하지 않습니다. 그러나 IPv6 유출을 방지하기 위해 IPv6 트래픽을 VPN 터널로 라우팅해야 하는 경우가 있습니다. IPv6 유출은 IPv4 및 IPv6이 둘 다 활성화되고 VPN에 연결될 때 발생할 수 있지만 VPN은 IPv6 트래픽을 터널로 라우팅하지 않습니다. 이 경우 IPv6 활성화 대상에 연결할 때 실제로는 ISP에서 제공한 IPv6 주소로 계속 연결되어 있습니다. 그러면 실제 IPv6 주소가 유출됩니다. 아래 지침은 IPv6 트래픽을 VPN 터널로 라우팅하는 방법에 대해 설명합니다.
IPv6 유출을 방지하려면 다음 IPv6 관련 지시문을 Client VPN 구성 파일에 추가해야 합니다.
ifconfig-ipv6 arg0 arg1 route-ipv6 arg0
예를 들면 다음과 같습니다.
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/4
이 예시에서 ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1은 로컬 터널 디바이스 IPv6 주소를 fd15:53b6:dead::2로, 원격 VPN 엔드포인트 IPv6 주소를 fd15:53b6:dead::1로 설정합니다.
다음 명령인 route-ipv6 2000::/4는 IPv6 주소(2000:0000:0000:0000:0000:0000:0000:0000~2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이)를 VPN 연결로 라우팅합니다.
참고
예를 들어 Windows에서 ‘TAP’ 디바이스를 라우팅할 경우 ifconfig-ipv6에 대한 두 번째 파라미터는 --route-ipv6에 대한 라우팅 대상으로 사용됩니다.
조직들은 ifconfig-ipv6의 파라미터 두 개를 직접 구성해야 하며 100::/64의 주소(0100:0000:0000:0000:0000:0000:0000:0000~0100:0000:0000:0000:ffff:ffff:ffff:ffff 사이) 또는 fc00::/7(fc00:0000:0000:0000:0000:0000:0000:0000~fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이) 주소를 사용할 수 있습니다. 100::/64는 Discard-Only 주소 블록이고 fc00::/7은 Unique-Local입니다.
또 다른 예시:
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/3 route-ipv6 fc00::/7
이 예시에서 구성은 현재 할당된 모든 IPv6 트래픽을 VPN 연결로 라우팅합니다.
확인
조직에는 자체 테스트가 있을 수 있습니다. 기본 확인은 전체 터널 VPN 연결을 설정한 다음 IPv6 주소를 사용하여 IPv6 서버를 향해 ping6을 실행하는 것입니다. 서버의 IPv6 주소는 route-ipv6 명령에 의해 지정된 범위에 있어야 합니다. 이 ping 테스트는 실패해야 합니다. 그러나 나중에 IPv6 지원이 Client VPN 서비스에 추가되는 경우 이는 변경될 수 있습니다. ping이 성공하고 전체 터널 모드로 연결되었을 때 퍼블릭 사이트에 액세스할 수 있는 경우 문제 해결을 추가로 수행해야 할 수도 있습니다. ipleak.org
