Comprensión de las configuraciones de red IPv6 de doble pila para Umbrella Roaming Client
Introducción
Este documento describe la compatibilidad con Umbrella Roaming Client, específicamente para configuraciones de red IPv6 de doble pila.
Overview
Actualmente, el cliente de roaming de Umbrella admite configuraciones de red solo de IPv4 y de pila dual para macOS de forma predeterminada (cliente de roaming 2.1.x+) y para Windows (versión de cliente 2.2.x+) al activar la opción de redirección IPv6 en la página de clientes de roaming del panel.
En este momento no está disponible el soporte para redes solo IPv6 para los sistemas operativos Mac y Windows.
El soporte de redirección IPv6 está disponible para el módulo de seguridad de roaming de AnyConnect a partir de la versión 4.8.02042.
Redirección IPv4
La funcionalidad de redirección de DNS IPv4 del cliente de itinerancia permanece sin cambios. DNS se sigue sobrescribiendo en 127.0.0.1, redirigiendo DNS al proxy de cifrado DNS del cliente móvil.
Flujo:
127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted
Redirección IPv6
El componente IPv6, nuevo en la versión 2.2.x, es una nueva incorporación al cliente de roaming. Este cambio está presente en el extremo posterior del cliente, así como en la bandeja de la interfaz de usuario actualizada.
¿Cuáles son las novedades? Busque el estado de IPv6. De forma predeterminada, indica "No habilitado". Si se activa la redirección IPv6 desde el Panel, se activa la nueva redirección IPv6 de Umbrella. Cuando está activo, DNS para IPv6 se sobrescribe con ::1
La protección IPv6 tiene su propio estado independiente de protegida y cifrada, protegida y no cifrada, desprotegida y otros estados. Este estado se refleja en la GUI actualizada.
La redirección IPv6 se produce independientemente de la cobertura IPv4.
Flujo:
::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted
Funcionamiento estándar
El cliente de roaming prueba la disponibilidad de los resolvers de Umbrella en cada cambio de estado de red y en un intervalo periódico recurrente (actualmente 10 s). Si DNS está disponible a través del proxy dns, el cliente ingresa en el modo protegido para la versión del protocolo de Internet que pasa la prueba. Con IPv6 habilitado, se espera que los paquetes de confirmación de conectividad DNS regulares se produzcan una vez por cada protocolo cada 10 segundos.
Cuando ambos protocolos están activos, DNS se ve como:
::1 127.0.0.1
Gráfico de funcionalidad
|
Cliente/Función: Cobertura de DNS |
Interno IPv4 a externo IPv4 |
Interno IPv4 a externo de doble pila |
Doble pila interna a externa IPv4 |
Doble pila interna a doble pila externa |
Doble pila interna a externa IPv6 |
Interno IPv6 a externo de doble pila |
Interno IPv6 a externo IPv6 |
|
Filtro: Cliente de roaming independiente (Win/macOS) |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
|
Filtro: Módulo de seguridad de roaming AnyConnect 4.8 MR2+ |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
Nota: El DNS interno nunca se ve afectado por IPv6. Los escenarios no compatibles permiten la omisión del DNS y el DNS interno. Los escenarios se basan en la presencia de la configuración de DNS IPv4 e IPv6. Las redes internas pueden tener direcciones IPv6 sin servidores DNS IPv6, y se considerarían redes IPv4 para la base de este gráfico.
Preguntas Frecuentes
¿Umbrella admite el bloqueo de solicitudes AAAA (con IPv4)?
Sí, las consultas AAAA de dominios bloqueados recibidos a través de IPv4 devuelven la dirección IPv6 asignada a IPv4 de una página de bloqueo.
¿Umbrella admite una página de bloqueo de IPv6 o, más en general, bloquea las solicitudes de IPv6?
Es cierto que no se puede acceder a las páginas bloqueadas a través de IPv6; sin embargo, existe un poco de nombre incorrecto con "bloqueo de solicitudes de IPv6". Umbrella permite o bloquea dominios que no son direcciones IPv4 ni IPv6. El servicio Umbrella DNS resuelve los dominios en direcciones IPv4 o IPv6. Cuando Umbrella bloquea algo, devuelve una dirección IPv4 para consultas A o una dirección IPv6 asignada a IPv4 para consultas AAAA. La dirección IP devuelta es la de la página de bloque de Umbrella en lugar de la del dominio.
En cualquier caso, la dirección IP devuelta sólo es accesible a través de IPv4, por lo que el cliente debe ser al menos compatible con IPv4 para poder conectarse posteriormente a él.
Cuando una solicitud se procesa a través del proxy inteligente de Umbrella, las cosas son muy similares. Las solicitudes AAAA para dominios de la lista gris (recibidas a través de IPv4) devuelven la dirección IPv6 asignada a IPv4 de un proxy. El cliente debe ser compatible con IPv4 para poder conectarse posteriormente al proxy.
Si se permite una solicitud AAAA de IPv6, ¿registra Umbrella esa información?
Sí, Umbrella lo registra siempre que la solicitud provenga de una o varias identidades registradas. Las redes que tienen direcciones IPv6 también deben registrarse para poder registrarse en los informes. Lo mismo se aplica a los clientes de roaming u otros tipos de identidad.
Espera, ¿puedo registrar una red IPv6 en Umbrella?
Sí! Sea nuestro invitado y regístrese.
¿Existen escenarios esperados en los que la cobertura no se aplique como se espera cuando se está en una red de pila dual con servidores DNS IPv6?
Yes. Si no se puede acceder a los resolvers de Umbrella IPv4, el DNS enlazado a IPv4 no está protegido. Si no se puede acceder a los resolvers de Umbrella IPv6, el DNS enlazado a IPv6 no está protegido. Es posible tener uno o ambos redireccionamientos desprotegidos debido a limitaciones de red. Consulte la siguiente pregunta para ver un ejemplo de escenario.
¿Qué sucede si tengo un servidor DNS IPv6 accesible, pero no se puede acceder a los resolvers IPv6 de Umbrella? ¿Puede el cliente conservar la protección?
Windows: La protección IPv6 permanece sin conexión porque Umbrella no está accesible en IPv6. El DNS enviado a la resolución local de IPv6 se resuelve normalmente, fuera del cliente. Dado que nuestros resolvers DNS públicos IPv4 estaban disponibles, Umbrella protege todos los DNS enviados a la pila DNS IPv4. Por lo tanto, el DNS enviado a través de IPv6 no está protegido, mientras que el DNS enviado a IPv4 sí lo está. Un ejemplo que se muestra en este campo es un punto de conexión móvil con un servidor DNS IPv6, pero sin acceso IPv6 a nuestros resolvers.
¿Qué sucede si mi interfaz de red tiene algunos servidores DNS locales sólo IPv6 como "fec0:......."
Windows: A partir de la versión 2.2.109, esto puede causar algún comportamiento incoherente. Esto se resuelve en nuestra próxima versión y no es procesado por el cliente de roaming.
¿Interactúa el estado IPv4 del cliente con el estado IPv6?
Windows: No. Son estados completamente independientes en función de la disponibilidad de la red y la presencia de un servidor DNS para cada protocolo.
¿Se puede redirigir DNS IPv6 a servidores DNS IPv4 si Umbrella sólo está accesible en IPv4, pero el equipo está en una red habilitada para IPv6?
Windows: No. El cliente sólo envía DNS a resoluciones IPv6 para la redirección DNS IPv6, si está disponible. El DNS enlazado a IPv6 no se envía a nuestros resolvers IPv4 y no puede recibir la política.
¿Se diferencia macOS de Windows?
Yes. macOS tiene una ubicación de almacenamiento central para DNS IPv6 e IPv4, y solicitamos nuestro almacenamiento según el DNS local. DNS continúa fluyendo a través de 127.0.0.1 en macOS, a diferencia de Windows.
Si en una red detrás de un VA para DNS IPv4, ¿puede el componente IPv6 también desactivar detrás del dispositivo virtual?
No en este momento hasta que el dispositivo virtual sea compatible con IPv6. El componente de redirección IPv6 del cliente de itinerancia permanece activo, cifrado y protegido para las solicitudes DNS enlazadas a IPv6.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
09-Sep-2025
|
Versión inicial |
Comentarios