翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IPv6 に関する考慮事項 AWS Client VPN
現在、クライアントVPNサービスはVPNトンネル経由のIPv6トラフィックのルーティングをサポートしていません。ただし、IPv6リークを防ぐためにIPv6トラフィックをVPNトンネルにルーティングする必要がある場合があります。IPv6 リークは、 IPv4 と の両方IPv6が有効で に接続されているがVPN、 VPNがIPv6トラフィックをトンネルにルーティングしない場合に発生する可能性があります。この場合、IPv6有効な送信先に接続しても、実際には によって提供されたIPv6アドレスに接続していることになりますISP。これにより、実際のIPv6アドレスが漏洩します。次の手順では、IPv6トラフィックをVPNトンネルにルーティングする方法について説明します。
IPv6 リークを防ぐために、次の IPv6関連のディレクティブをクライアントVPN設定ファイルに追加する必要があります。
ifconfig-ipv6 arg0 arg1 route-ipv6 arg0
次の例のようになります。
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/4
この例では、 ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1はローカルトンネルデバイスIPv6アドレスを に設定fd15:53b6:dead::2し、リモートVPNエンドポイントIPv6アドレスを に設定しますfd15:53b6:dead::1。
次のコマンドroute-ipv6 2000::/4では、 はIPv6アドレス2000:0000:0000:0000:0000:0000:0000:0000を からVPN接続2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffffにルーティングします。
注記
例えば、Windows のTAP「」デバイスルーティングでは、 の 2 番目のパラメータifconfig-ipv6が のルートターゲットとして使用されます--route-ipv6。
Organizations では、ifconfig-ipv6 の 2 つのパラメータを自身で設定する必要があり、100::/64 (0100:0000:0000:0000:0000:0000:0000:0000 から 0100:0000:0000:0000:ffff:ffff:ffff:ffff) または fc00::/7 (fc00:0000:0000:0000:0000:0000:0000:0000 から fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) のアドレスを使用できます。100::/64 は破棄専用アドレスブロックであり、fc00::/7 は一意ローカルです。
別の例を紹介します。
ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 route-ipv6 2000::/3 route-ipv6 fc00::/7
この例では、設定は現在割り当てられているすべてのIPv6トラフィックをVPN接続にルーティングします。
検証
ご自身の組織で独自のテストを実施することになるでしょう。基本的な検証は、完全なトンネルVPN接続をセットアップし、IPv6アドレスを使用してIPv6サーバーに ping6 を実行することです。サーバーのIPv6アドレスは、 route-ipv6 コマンドで指定された範囲内にある必要があります。この ping テストは失敗します。ただし、サポートIPv6が今後クライアントVPNサービスに追加されると、この状況は変更される可能性があります。ping が成功し、フルトンネルモードで接続しているときにパブリックサイトにアクセスできる場合は、さらにトラブルシューティングを行う必要があります。公開されているツールもあります。
