Considerações sobre IPv6 - VPN do cliente da AWS

Considerações sobre IPv6

Atualmente, o serviço cliente VPN não é compatível com o roteamento de tráfego IPv6 pelo túnel VPN. No entanto, há casos em que o tráfego IPv6 deve ser roteado para o túnel VPN a fim de evitar vazamento de IPv6. O vazamento de IPv6 pode ocorrer quando o IPv4 e o IPv6 estão habilitados e conectados à VPN, mas a VPN não roteia o tráfego IPv6 para o túnel respectivo. Nesse caso, ao se conectar a um destino habilitado para IPv6, você ainda está se conectando com seu endereço IPv6 fornecido pelo ISP. Isso causará o vazamento do seu endereço IPv6 real. As instruções abaixo explicam como rotear o tráfego IPv6 para o túnel VPN.

As seguintes diretivas relacionadas ao IPv6 devem ser adicionadas ao arquivo de configuração do cliente VPN a fim de evitar vazamento de IPv6:

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

Um exemplo pode ser:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

Nesse exemplo,ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 definirá o endereço IPv6 do dispositivo de túnel local como fd15:53b6:dead::2 e o endereço IPv6 do endpoint da VPN remota como fd15:53b6:dead::1.

O próximo comando, route-ipv6 2000::/4, roteará os endereços IPv6 de 2000:0000:0000:0000:0000:0000:0000:0000para 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff na conexão VPN.

nota

Para o roteamento do dispositivo “TAP” no Windows, por exemplo, o segundo parâmetro de ifconfig-ipv6 será usado como destino de rota para --route-ipv6.

As próprias organizações devem configurar os dois parâmetros de ifconfig-ipv6 e podem usar endereços em 100::/64 (de0100:0000:0000:0000:0000:0000:0000:0000 a 0100:0000:0000:0000:ffff:ffff:ffff:ffff) ou fc00::/7 (de fc00:0000:0000:0000:0000:0000:0000:0000 a fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). 100::/64 é um bloco de endereços somente para descarte e fc00::/7 é exclusivo no local.

Outro exemplo:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

Neste exemplo, a configuração roteará todo o tráfego IPv6 alocado atualmente para a conexão VPN.

Verification

Provavelmente, sua organização terá os próprios testes. Uma verificação básica é configurar uma conexão VPN de túnel completo e, em seguida, executar ping6 para um servidor IPv6 usando o endereço IPv6. O endereço IPv6 do servidor deve estar no intervalo especificado pelo comando route-ipv6. Esse teste de ping deve falhar. No entanto, isso pode mudar se o suporte para IPv6 for adicionado ao serviço cliente VPN no futuro. Se o ping for bem-sucedido e você conseguir acessar sites públicos quando conectado no modo de túnel completo, talvez seja necessário fazer mais uma solução de problemas. Você também pode testar usando algumas ferramentas disponíveis publicamente, como ipleak.org.