Informazioni sulle configurazioni di rete IPv6 Dual Stack per il client di roaming Umbrella
Sommario
Introduzione
In questo documento viene descritto il supporto per Umbrella Roaming Client, in particolare per le configurazioni di rete IPv6 a doppio stack.
Panoramica
Attualmente, il client di roaming Umbrella supporta configurazioni di rete solo IPv4 e a doppio stack per macOS per impostazione predefinita (client di roaming 2.1.x+) e per Windows (client versione 2.2.x+) attivando o disattivando il reindirizzamento IPv6 nella pagina client di roaming del dashboard.
Al momento non è disponibile il supporto per le reti solo IPv6 per i sistemi operativi Mac e Windows.
Il supporto del reindirizzamento IPv6 è disponibile per AnyConnect Roaming Security Module a partire dalla versione 4.8.02042.
Reindirizzamento IPv4
La funzionalità di reindirizzamento DNS IPv4 del client in roaming rimane invariata. Il DNS viene ancora sovrascritto alla versione 127.0.0.1, reindirizzando il DNS nel proxy di crittografia DNS del client in roaming.
Flusso:
127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted
Reindirizzamento IPv6
Novità della versione 2.2.x, il componente IPv6 è una nuova aggiunta al client mobile. Questa modifica è presente sul back-end del client e sull'area di notifica dell'interfaccia utente aggiornata.
Quali sono le novità? Cercare lo stato IPv6. Per impostazione predefinita, questo messaggio indica "Non abilitato". Se il reindirizzamento IPv6 è attivato dal dashboard, viene attivato il nuovo reindirizzamento IPv6 di Umbrella. Quando è attivo, DNS per IPv6 viene sovrascritto con ::1
Lo stato della protezione IPv6 è indipendente: Protetto e crittografato, protetto e non crittografato, non protetto e in altri stati. Questo stato si riflette sull'interfaccia utente aggiornata.
Il reindirizzamento IPv6 viene eseguito indipendentemente dalla copertura IPv4.
Flusso:
::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted
Funzionamento standard
Il client di roaming verifica la disponibilità dei resolver Umbrella a ogni modifica dello stato della rete e a intervalli regolari (attualmente 10). Se il DNS è disponibile tramite il proxy DNS, il client entra in modalità protetta per la versione del protocollo Internet che supera il test. Con IPv6 abilitato, si prevede che i pacchetti di conferma della connettività DNS si verifichino regolarmente una volta per ogni protocollo ogni 10 secondi.
Quando entrambi i protocolli sono attivi, il DNS viene considerato come:
::1 127.0.0.1
Grafico delle funzionalità
|
Client/funzionalità: Copertura DNS |
Da interno IPv4 a esterno IPv4 |
IPv4 interno a doppio stack esterno |
Doppio stack interno a IPv4 esterno |
Doppio stack interno a doppio stack esterno |
Doppio stack interno a IPv6 esterno |
IPv6 da interno a doppio stack esterno |
Da IPv6 interno a IPv6 esterno |
|
Filtro: Client roaming standalone (Win/macOS) |
★ | ★ | ★ | ★ | ★ | ✘ | ✘ |
|
Filtro: AnyConnect Roaming Security Module 4.8 MR2+ |
★ | ★ | ★ | ★ | ★ | ✘ | ✘ |
Nota: Il DNS interno non è mai interessato da IPv6. Gli scenari non supportati consentono di ignorare il DNS e il DNS interno. Gli scenari sono basati sulla presenza di impostazioni DNS IPv4 e IPv6. Le reti interne possono avere indirizzi IPv6 senza server DNS IPv6 e vengono considerate reti IPv4 per la base di questo grafico.
Domande frequenti
Umbrella supporta il blocco delle richieste AAAA (con IPv4)?
Sì, le query AAAA per i domini bloccati ricevuti tramite IPv4 restituiscono l'indirizzo IPv6 mappato a IPv4 di una pagina di blocco.
Umbrella supporta una pagina di blocco IPv6 o, più in generale, il blocco delle richieste IPv6?
È vero che le pagine di blocco non sono raggiungibili tramite IPv6, tuttavia esiste un po' di nome errato con il termine "blocco delle richieste IPv6". Umbrella consente o blocca i domini, che non sono indirizzi IPv4 o IPv6. Il servizio DNS Umbrella risolve i domini in indirizzi IPv4 o IPv6. Quando Umbrella blocca qualcosa, restituisce un indirizzo IPv4 per le query A o un indirizzo IPv6 mappato a IPv4 per le query AAAA. L'indirizzo IP restituito è quello della pagina del blocco Umbrella e non del dominio.
In entrambi i casi, l'indirizzo IP restituito è accessibile solo tramite IPv4, quindi il client deve essere in grado di supportare almeno IPv4 per potersi connettere successivamente.
Quando una richiesta viene inoltrata tramite il proxy intelligente Umbrella, le cose sono più o meno le stesse. Le richieste AAAA per i domini in lista grigia, ricevute tramite IPv4, restituiscono l'indirizzo IPv6 mappato a IPv4 di un proxy. Il client deve supportare il protocollo IPv4 per potersi successivamente connettere al proxy.
Se è consentita una richiesta AAAA IPv6, Umbrella registra tale richiesta?
Sì, Umbrella lo registra a condizione che la richiesta provenga da una o più identità registrate. Le reti con indirizzi IPv6 devono inoltre essere registrate per poter essere registrate nei report. Lo stesso vale per i client in roaming o altri tipi di identità.
Attendere. È possibile registrare una rete IPv6 in Umbrella?
Sì! Iscriviti e registrati.
Esistono scenari previsti in cui la copertura non si applica come previsto in una rete a doppio stack con server DNS IPv6?
Sì. Se i resolver IPv4 Umbrella non sono raggiungibili, il DNS associato a IPv4 non è protetto. Se i resolver IPv6 Umbrella non sono raggiungibili, il DNS associato a IPv6 non è protetto. È possibile che uno o entrambi i reindirizzamenti non siano protetti a causa di limitazioni della rete. Per uno scenario di esempio, vedere la domanda successiva.
Cosa succede se si dispone di un server DNS IPv6 accessibile ma i resolver IPv6 Umbrella non sono accessibili? Il cliente può mantenere la protezione?
Windows: La protezione IPv6 rimane offline perché Umbrella non è accessibile su IPv6. Il DNS inviato al resolver locale IPv6 viene risolto normalmente, all'esterno del client. Poiché i nostri resolver DNS pubblici IPv4 erano disponibili, qualsiasi DNS inviato allo stack DNS IPv4 è protetto da Umbrella. Pertanto, il DNS inviato tramite IPv6 non è protetto, mentre il DNS inviato a IPv4 è protetto. Un esempio è rappresentato da un hotspot mobile con un server DNS IPv6, ma senza accesso IPv6 ai nostri resolver.
Cosa succede se l'interfaccia di rete dispone solo di alcuni server DNS IPv6 locali come "fec0:......."
Windows: A partire dalla versione 2.2.109, ciò può causare alcuni comportamenti incoerenti. Questa condizione viene risolta nella prossima release e non viene elaborata dal client di roaming.
Lo stato IPv4 del client interagisce con lo stato IPv6?
Windows: No. Si tratta di stati completamente indipendenti a seconda della disponibilità della rete e della presenza di un server DNS per ogni protocollo.
È possibile reindirizzare il DNS IPv6 ai server DNS IPv4 se Umbrella è accessibile solo su IPv4, ma il computer si trova su una rete abilitata per IPv6?
Windows: No. Il client invia DNS solo ai resolver IPv6 per il reindirizzamento DNS IPv6, se disponibile. Il DNS associato a IPv6 non viene inviato ai nostri resolver IPv4 e non può ricevere criteri.
macOS è diverso da Windows?
Sì. macOS dispone di una posizione di archiviazione centrale per i DNS IPv6 e IPv4 e viene ordinato di conseguenza per i DNS locali. A differenza di Windows, il DNS continua a passare alla versione 127.0.0.1 su macOS.
Se il componente IPv6 è in rete dietro un'appliance virtuale per il DNS IPv4, può essere disabilitato anche dietro l'appliance virtuale?
Al momento non finché il VA non supporta IPv6. Il componente di reindirizzamento IPv6 del client mobile rimane attivo, crittografato e protetto per le richieste DNS associate a IPv6.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
09-Sep-2025
|
Versione iniziale |
Feedback