IPv6的注意事項 AWS Client VPN

目前用戶端VPN服務不支援透過IPv6通VPN道路由傳送流量。但是，在某些情況下，應將IPv6交通路由到VPN隧道，以防止IPv6洩漏。IPv6當啟用IPv4並且IPv6連接到時，可能會發生洩漏VPN，但VPN不會將IPv6流量路由到其隧道。在這種情況下，當連接到IPv6已啟用的目的IPv6地時，您實際上仍然與您提供的ISP. 這會洩露你的真實IPv6地址。下面的說明解釋如何將IPv6交通路由到VPN隧道。

以下IPv6相關指令應該添加到客戶端VPN配置文件中，以防止IPv6洩漏：

ifconfig-ipv6 arg0 arg1
route-ipv6 arg0

範例可能是：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/4

在此範例中，ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1將本機通道裝置IPv6位址設定為，fd15:53b6:dead::2並將遠VPN端端點IPv6位址設定為fd15:53b6:dead::1。

下一個命令，route-ipv6 2000::/4將路由IPv6地址從2000:0000:0000:0000:0000:0000:0000:00002fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff到VPN連接。

Organizations 應該設定 ifconfig-ipv6 本身的兩個參數，並且可以使用 100::/64 (從 0100:0000:0000:0000:0000:0000:0000:0000 至 0100:0000:0000:0000:ffff:ffff:ffff:ffff) 或 fc00::/7 (從 fc00:0000:0000:0000:0000:0000:0000:0000 至 fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff) 中的地址。100::/64 是「僅捨棄地址區塊」，而 fc00::/7 是唯一本地。

另一個範例是：

ifconfig-ipv6 fd15:53b6:dead::2 fd15:53b6:dead::1
route-ipv6 2000::/3
route-ipv6 fc00::/7

在此範例中，組態會將所有目前配置的IPv6流量路由至VPN連線。

驗證

您的組織可能有自己的測試。基本驗證是設置完整的隧道VPN連接，然後使用該IPv6地址將 ping6 運行到IPv6服務器。伺服器的IPv6位址應在指route-ipv6令所指定的範圍內。這個 ping 測試應該會失敗。但是，如果 future 將IPv6支援新增至 Client VPN 服務，這可能會變更。如果 ping 成功，而且您可以在以完整通道模式連線時存取公有站點，則您可能需要進一步的疑難排解。還有一些公開可用的工具。