IPv6에 대한 고려 사항 AWS Client VPN

현재 클라이언트 VPN 서비스는 VPN 터널을 통한 IPv6 트래픽 라우팅을 지원하지 않습니다. 그러나 IPv6 누수를 방지하기 위해 IPv6 트래픽을 VPN 터널로 라우팅해야 하는 경우가 있습니다. IPv6둘 다 활성화되어 IPv4 있고 IPv6 에 연결되어 있지만 터널로 IPv6 트래픽을 라우팅하지 VPN 않는 경우 누수가 발생할 수 있습니다. VPN 이 경우 IPv6 활성화된 목적지에 연결해도 실제로는 사용자가 제공한 IPv6 주소로 계속 연결되고 있는 것입니다ISP. 이렇게 하면 실제 IPv6 주소가 유출될 수 있습니다. 아래 지침은 IPv6 트래픽을 VPN 터널로 라우팅하는 방법을 설명합니다.

IPv6누수를 방지하려면 다음과 같은 IPv6 관련 지침을 클라이언트 VPN 구성 파일에 추가해야 합니다.

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

예를 들면 다음과 같습니다.

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

이 예시에서는 로컬 터널 장치 IPv6 주소를 로 설정하고 원격 VPN 엔드포인트 IPv6 주소를 로 fd15:53b6:dead::1 설정합니다. ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1 fd15:53b6:dead::2

다음 명령은 IPv6 주소의 주소를 2fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff VPN 연결로 2000:0000:0000:0000:0000:0000:0000:0000 로 라우팅합니다. route-ipv6 2000::/4

조직들은 ifconfig-ipv6의 파라미터 두 개를 직접 구성해야 하며 100::/64의 주소(0100:0000:0000:0000:0000:0000:0000:0000~0100:0000:0000:0000:ffff:ffff:ffff:ffff 사이) 또는 fc00::/7(fc00:0000:0000:0000:0000:0000:0000:0000~fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff 사이) 주소를 사용할 수 있습니다. 100::/64는 Discard-Only 주소 블록이고 fc00::/7은 Unique-Local입니다.

또 다른 예시:

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

이 예시에서는 구성이 현재 할당된 모든 IPv6 트래픽을 VPN 연결로 라우팅합니다.

확인

조직에는 자체 테스트가 있을 수 있습니다. 기본 확인은 전체 터널 VPN 연결을 설정한 다음 해당 주소를 사용하여 IPv6 서버에 ping6을 실행하는 것입니다. IPv6 서버 IPv6 주소는 명령으로 지정된 범위 내에 있어야 합니다. route-ipv6 이 ping 테스트는 실패해야 합니다. 그러나 향후 클라이언트 VPN 서비스에 IPv6 지원이 추가되면 변경될 수 있습니다. ping이 성공하고 전체 터널 모드로 연결되었을 때 퍼블릭 사이트에 액세스할 수 있는 경우 문제 해결을 추가로 수행해야 할 수도 있습니다. 공개적으로 사용할 수 있는 도구도 몇 가지 있습니다.