本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Client VPN 的 IPv6 注意事项
目前,Client VPN 服务不支持通过 VPN 隧道路由 IPv6 流量。但是,在某些情况下,IPv6 流量应路由到 VPN 隧道以防止 IPv6 泄漏。如果启用 IPv4 和 IPv6 并连接到 VPN,但 VPN 没有将 IPv6 流量路由到其隧道,则可能会发生 IPv6 泄漏。在这种情况下,当连接到启用了 IPv6 的目标时,您实际上仍然使用 ISP 提供的 IPv6 地址进行连接。它会泄露您的真实 IPv6 地址。下面的说明说明了如何将 IPv6 流量路由到 VPN 隧道。
应将以下 IPv6 相关指令添加到 Client VPN 配置文件中,以防止 IPv6 泄漏:
ifconfig-ipv6 arg0 arg1 route-ipv6 arg0
举个例子:
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/4
在本例中,ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
会将本地隧道设备 IPv6 地址设置为 fd15:53b6:dead::2
,并将远程 VPN 端点 IPv6 地址设置为 fd15:53b6:dead::1
。
下一个命令中,route-ipv6 2000::/4
将从 2000:0000:0000:0000:0000:0000:0000:0000
到 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
路由 IPv6 地址到 VPN 连接。
注意
例如,对于 Windows 中的 TAP 设备路由,ifconfig-ipv6
的第二个参数将被用作 --route-ipv6
的路由目标。
企业应配置 ifconfig-ipv6
本身的两个参数,并且可以使用 100::/64
(从 0100:0000:0000:0000:0000:0000:0000:0000
到 0100:0000:0000:0000:ffff:ffff:ffff:ffff
)或 fc00::/7
(从 fc00:0000:0000:0000:0000:0000:0000:0000
到 fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
)中的地址。100::/64
是仅丢弃的地址块,fc00::/7
为唯一本地。
另一个示例是:
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/3 route-ipv6 fc00::/7
在此示例中,配置将当前分配的所有 IPv6 流量路由到 VPN 连接。
验证
您的组织可能会有自己的测试。基本验证是设置全通道 VPN 连接,然后使用 IPv6 地址对 IPv6 服务器运行 ping6。服务器的 IPv6 地址应在由 route-ipv6
命令指定的范围中。此 ping 测试将失败。但是,如果以后将 IPv6 支持添加到 Client VPN 服务,则这可能会发生变化。如果 ping 成功,并且您能够在以全通道模式连接时访问公共站点,则可能需要执行进一步的故障排除。您还可以使用一些公开可用的工具(如 ipleak.org