AWS Client VPN 的 IPv6 考量因素

目前 Client VPN 服務不支援透過 VPN 通道路由 IPv6 流量。不過，在某些情況下，IPv6 流量應該被路由至 VPN 通道，以防止 IPv6 洩漏。當 IPv4 和 IPv6 同時啟用並連線至 VPN 時，就可能會發生 IPv6 洩漏，但 VPN 不會將 IPv6 流量路由至其通道。在這種情況下，連線至啟用 IPv6 的目的地時，您實際上仍然與 ISP 提供的 IPv6 位址連線。這會洩漏您的真實 IPv6 地址。以下說明會解釋如何將 IPv6 流量路由到 VPN 通道。

下列 IPv6 相關指示詞應新增至 Client VPN 設定檔，以防止 IPv6 洩漏：

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

範例可能是：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

在此範例中，ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 會將本機通道裝置 IPv6 地址設定為 fd15:53b6:dead::2 和遠端 VPN 端點 IPv6 地址設定為 fd15:53b6:dead::1。

下一個命令，route-ipv6 2000::/4 將 IPv6 地址從 2000:0000:0000:0000:0000:0000:0000:0000 路由至 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff VPN 連接。

注意

例如，對於 Windows 中的「TAP」設備路由，ifconfig-ipv6 的第二個參數將被用作 --route-ipv6 的路由目標。

Organizations 應該設定 ifconfig-ipv6 本身的兩個參數，並且可以使用 100::/64 (從 0100:0000:0000:0000:0000:0000:0000:0000 至 0100:0000:0000:0000:ffff:ffff:ffff:ffff) 或 fc00::/7 (從 fc00:0000:0000:0000:0000:0000:0000:0000 至 fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) 中的地址。100::/64 是「僅捨棄地址區塊」，而 fc00::/7 是唯一本地。

另一個範例是：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

在此範例中，設定會將目前配置的所有 IPv6 流量路由至 VPN 連接。

驗證

您的組織可能有自己的測試。基本驗證是設定完整通道 VPN 連接，然後使用 IPv6 地址將 ping6 執行至 IPv6 伺服器。伺服器的 IPv6 地址應該在 route-ipv6 命令指定的範圍內。這個 ping 測試應該會失敗。不過，如果 IPv6 支援在未來新增至 Client VPN 服務，這可能會改變。如果 ping 成功，而且您可以在以完整通道模式連線時存取公有站點，則您可能需要進一步的疑難排解。您也可以透過使用一些公開可用的工具進行測試，如 ipleak.org。