AWS Client VPN 的 IPv6 注意事项

目前，Client VPN 服务不支持通过 VPN 隧道路由 IPv6 流量。但是，在某些情况下，IPv6 流量应路由到 VPN 隧道以防止 IPv6 泄漏。如果启用 IPv4 和 IPv6 并连接到 VPN，但 VPN 没有将 IPv6 流量路由到其隧道，则可能会发生 IPv6 泄漏。在这种情况下，当连接到启用了 IPv6 的目标时，您实际上仍然使用 ISP 提供的 IPv6 地址进行连接。它会泄露您的真实 IPv6 地址。下面的说明说明了如何将 IPv6 流量路由到 VPN 隧道。

应将以下 IPv6 相关指令添加到 Client VPN 配置文件中，以防止 IPv6 泄漏：

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

举个例子：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

在本例中，ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 会将本地隧道设备 IPv6 地址设置为 fd15:53b6:dead::2，并将远程 VPN 端点 IPv6 地址设置为 fd15:53b6:dead::1。

下一个命令中，route-ipv6 2000::/4 将从 2000:0000:0000:0000:0000:0000:0000:0000 到 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 路由 IPv6 地址到 VPN 连接。

注意

例如，对于 Windows 中的 TAP 设备路由，ifconfig-ipv6 的第二个参数将被用作 --route-ipv6 的路由目标。

企业应配置 ifconfig-ipv6 本身的两个参数，并且可以使用 100::/64（从 0100:0000:0000:0000:0000:0000:0000:0000 到 0100:0000:0000:0000:ffff:ffff:ffff:ffff）或 fc00::/7（从 fc00:0000:0000:0000:0000:0000:0000:0000 到 fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)中的地址。100::/64 是仅丢弃的地址块，fc00::/7 为唯一本地。

另一个示例是：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

在此示例中，配置将当前分配的所有 IPv6 流量路由到 VPN 连接。

验证

您的组织可能会有自己的测试。基本验证是设置全通道 VPN 连接，然后使用 IPv6 地址对 IPv6 服务器运行 ping6。服务器的 IPv6 地址应在由 route-ipv6 命令指定的范围中。此 ping 测试将失败。但是，如果以后将 IPv6 支持添加到 Client VPN 服务，则这可能会发生变化。如果 ping 成功，并且您能够在以全通道模式连接时访问公共站点，则可能需要执行进一步的故障排除。您还可以使用一些公开可用的工具（如 ipleak.org 等）。