UmbrellaローミングクライアントのデュアルスタックIPv6ネットワーク設定の理解

はじめに

このドキュメントでは、Umbrella Roaming Clientのサポート、特にデュアルスタックIPv6ネットワーク設定のサポートについて説明します。

概要

現在、Umbrellaローミングクライアントは、ダッシュボードの[ローミングクライアント]ページでIPv6リダイレクト切り替えを切り替えることによって、macOS （ローミングクライアント2.1.x+）およびWindows （クライアントバージョン2.2.x+）のデフォルトのIPv4のみのネットワーク構成とデュアルスタックネットワーク構成をサポートします。

MacとWindowsの両方のオペレーティングシステムでIPv6のみのネットワークをサポートすることは、現時点では不可能です。

IPv6リダイレクションのサポートは、バージョン4.8.02042の時点でAnyConnect Roamingセキュリティモジュールで使用できます。

IPv4リダイレクト

ローミングクライアントのIPv4 DNSリダイレクション機能は変更されていません。DNSは127.0.0.1に上書きされ、DNSをローミングクライアントのDNS暗号化プロキシにリダイレクトします。 

Flow:

127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted

IPv6リダイレクト 

バージョン2.2.xで新しく追加されたIPv6コンポーネントは、ローミングクライアントに新しく追加されたものです。この変更は、クライアントのバックエンドおよび更新されたユーザインターフェイストレイに適用されます。 

新しい機能IPv6ステートを探します。デフォルトでは、「Not Enabled」と表示されます。 ダッシュボードからIPv6リダイレクションをオンにすると、Umbrellaの新しいIPv6リダイレクションがアクティブになります。アクティブの場合、IPv6のDNSは：:1で上書きされます

IPv6の保護には、独自の状態である保護および暗号化、保護および非暗号化、非保護、およびその他の状態があります。この状態は、更新されたGUIに反映されます。

IPv6リダイレクションは、IPv4カバレッジとは無関係に行われます。 

Flow:

::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted

標準動作

ローミングクライアントは、ネットワーク状態が変更されるたびに、定期的（現在は10秒間）にUmbrellaリゾルバの可用性をテストします。 DNSプロキシ経由でDNSを使用できる場合、クライアントはテストに合格したインターネットプロトコルバージョンの保護モードに入ります。IPv6を有効にすると、通常のDNS接続確認パケットがプロトコルごとに10秒ごとに1回発生します。

両方のプロトコルがアクティブな場合、DNSは次のように表示されます。

::1
127.0.0.1

機能チャート

注：内部DNSはIPv6の影響を受けません。サポートされていないシナリオでは、DNSと内部DNSをバイパスできます。シナリオは、IPv4およびIPv6 DNS設定の存在に基づいています。内部ネットワークはIPv6 DNSサーバなしでIPv6アドレスを持つことができ、この表に基づいてIPv4ネットワークと見なされます。

よく寄せられる質問（FAQ）

Umbrellaは（IPv4を使用した）AAAA要求のブロックをサポートしていますか。

はい、IPv4経由で受信されたブロックされたドメインに対するAAAAクエリは、ブロックページのIPv4マップIPv6アドレスを返します。

UmbrellaはIPv6ブロックページをサポートしていますか。より一般的には、IPv6要求をブロックしていますか。

IPv6経由でブロックページに到達できないのは事実ですが、「IPv6要求をブロックする」という言葉には少し誤解があります。 Umbrellaは、IPv4アドレスでもIPv6アドレスでもないドメインを許可またはブロックします。Umbrella DNSサービスは、ドメインをIPv4アドレスまたはIPv6アドレスに解決します。Umbrellaが何かをブロックすると、Aクエリの場合はIPv4アドレスが返され、AAAAクエリの場合はIPv4マッピングされたIPv6アドレスが返されます。返されるIPアドレスは、ドメインではなくUmbrellaブロックページのIPアドレスです。

いずれの場合も、返されたIPアドレスはIPv4を介してのみアクセス可能であるため、クライアントは後で接続するために少なくともIPv4対応である必要があります。

要求がUmbrellaインテリジェントプロキシを介してプロキシされる場合、状況はほとんど同じです。IPv4経由で受信されるグレーリストドメインのAAAA要求は、プロキシのIPv4マッピングされたIPv6アドレスを返します。プロキシに接続するには、クライアントがIPv4対応である必要があります。

IPv6 AAAA要求が許可された場合、Umbrellaはそれをログに記録しますか。

はい。登録済みIDからの要求の場合、Umbrellaはログを記録します。レポートにログを記録するには、IPv6アドレスを持つネットワークも登録する必要があります。ローミングクライアントやその他のIDタイプについても同様です。

IPv6ネットワークをUmbrellaに登録できますか。

Yes!お客様の要望を聞き、すぐに登録してください。

IPv6 DNSサーバを使用するデュアルスタックネットワークで、カバレッジが期待どおりに適用されないという予想されるシナリオはありますか。

はい。Umbrella IPv4リゾルバに到達できない場合、IPv4にバインドされたDNSは保護されません。Umbrella IPv6リゾルバに到達できない場合、IPv6にバインドされたDNSは保護されません。ネットワークの制限により、どちらかの方向または両方の方向が保護されていない場合があります。シナリオの例については、次の質問を参照してください。

アクセス可能なIPv6 DNSサーバがあるが、Umbrella IPv6リゾルバにアクセスできない場合はどうすればいいですか。クライアントは保護を維持できますか。

Windows:IPv6ではUmbrellaにアクセスできないため、IPv6保護はオフラインのままです。IPv6ローカルリゾルバに送信されるDNSは、クライアントの外部で通常どおり解決されます。IPv4パブリックDNSリゾルバが使用可能だったため、IPv4 DNSスタックに送信されるすべてのDNSはUmbrellaによって保護されます。したがって、IPv6経由で送信されるDNSは保護されませんが、IPv4に送信されるDNSは保護されます。フィールドに表示される例の1つに、IPv6 DNSサーバを備えたモバイルホットスポットがありますが、リゾルバへのIPv6アクセスはありません。

ネットワークインターフェイスに「fec0:.......」のようなローカルのみのIPv6 DNSサーバがある場合はどうなりますか。

Windows：バージョン2.2.109の時点では、これにより一貫性のない動作が引き起こされる可能性があります。これは次のリリースで解決され、ローミングクライアントでは処理されません。

クライアントのIPv4状態はIPv6状態と対話しますか。

Windows：いいえ。これらは、ネットワークの可用性と各プロトコルのDNSサーバの存在に依存する完全に独立した状態です。

UmbrellaにアクセスできるのはIPv4だけですが、コンピュータがIPv6対応ネットワーク上にある場合、IPv6 DNSをIPv4 DNSサーバにリダイレクトできますか。

Windows：いいえ。クライアントは、IPv6 DNSリダイレクションのIPv6リゾルバにDNSを送信します（可能な場合）。IPv6にバインドされたDNSはIPv4リゾルバに送信されず、ポリシーを受信できません。

macOSはWindowsと異なりますか？

はい。macOSにはIPv6とIPv4の両方のDNS用の中央ストレージの場所があり、それに応じてローカルDNS用にストレージを注文します。Windowsとは異なり、DNSはmacOS上の127.0.0.1まで流れ続けます。

IPv4 DNSのVAの背後のネットワークで、IPv6コンポーネントも仮想アプライアンスの背後で無効にできますか。

現時点では、VAがIPv6対応になるまで使用できません。ローミングクライアントのIPv6リダイレクトコンポーネントは、IPv6にバインドされたDNS要求に対してアクティブで、暗号化され、保護されたままです。