Begrijp Dual Stack IPv6-netwerkconfiguraties voor Umbrella Roaming Client
Inhoud
Inleiding
Dit document beschrijft ondersteuning voor de Umbrella Roaming Client, met name voor dual stack IPv6-netwerkconfiguraties.
Overzicht
Momenteel ondersteunt de Umbrella-roamingclient standaard IPv4-netwerkconfiguraties en dual stack-netwerkconfiguraties voor macOS (roamingclient 2.1.x+) en voor Windows (clientversie 2.2.x+) door de IPv6-omleidingsschakelaar in te schakelen op de pagina met roamingclients van het dashboard.
Ondersteuning voor alleen IPv6-netwerken voor zowel het Mac- als het Windows-besturingssysteem is momenteel niet beschikbaar.
Ondersteuning voor IPv6-omleiding is beschikbaar voor de AnyConnect Roaming Security Module vanaf versie 4.8.02042.
IPv4-omleiding
De IPv4 DNS-omleidingsfunctionaliteit van de roamingclient blijft ongewijzigd. DNS wordt nog steeds overschreven naar 127.0.0.1, waarbij DNS wordt omgeleid naar de DNS-coderingsproxy van de roamende client.
Stroom:
127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted
IPv6-omleiding
Nieuw in versie 2.2.x, de IPv6-component is een nieuwe toevoeging aan de roamingclient. Deze wijziging is aanwezig op de achterkant van de client en op de bijgewerkte gebruikersinterfacebalk.
Wat is nieuw? Zoek naar de IPv6-status. Standaard staat hier "Niet ingeschakeld". Als IPv6-omleiding is ingeschakeld vanaf het Dashboard, wordt de nieuwe IPv6-omleiding van Umbrella geactiveerd. Wanneer actief, wordt DNS voor IPv6 overschreven met::1
IPv6-bescherming heeft zijn eigen onafhankelijke staat van beschermde en gecodeerde, beschermde en niet-gecodeerde, onbeschermde en andere staten. Deze status wordt weergegeven in de bijgewerkte GUI.
IPv6-omleiding vindt onafhankelijk van IPv4-dekking plaats.
Stroom:
::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted
standaardbewerking
De roamingclient test de beschikbaarheid van de Umbrella-resolvers bij elke netwerkstatuswijziging en op een regelmatig terugkerend interval (momenteel 10s). Als DNS beschikbaar is via de dns-proxy, komt de client in de beveiligde modus voor de internetprotocolversie die de test doorstaat. Als IPv6 is ingeschakeld, kunt u verwachten dat er voor elk protocol elke 10 seconden een keer een bevestigingspakket voor de DNS-connectiviteit wordt uitgevoerd.
Wanneer beide protocollen actief zijn, wordt DNS gezien als:
::1 127.0.0.1
Functionaliteitstabel
|
Client/functie: DNS-dekking |
IPv4 intern naar IPv4 extern |
IPv4 intern naar dubbele stapel extern |
Dual Stack Intern naar IPv4 Extern |
Dual Stack intern naar Dual Stack extern |
Dual Stack Intern naar IPv6 Extern |
IPv6 intern naar dual stack extern |
IPv6 intern naar IPv6 extern |
|
Filteren: zelfstandige roamingclient (Win/macOS) |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
|
Filteren: AnyConnect Roaming Security Module 4.8 MR2+ |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
Opmerking: Interne DNS wordt nooit beïnvloed door IPv6. Niet-ondersteunde scenario's maken het omzeilen van DNS en interne DNS mogelijk. Scenario's zijn gebaseerd op de aanwezigheid van IPv4- en IPv6 DNS-instellingen. Interne netwerken kunnen IPv6-adressen hebben zonder IPv6 DNS-servers en worden beschouwd als IPv4-netwerken voor de basis van deze grafiek.
Veelgestelde vragen
Ondersteunt Umbrella het blokkeren van AAAA-verzoeken (met IPv4)?
Ja, AAAA-query's voor geblokkeerde domeinen die via IPv4 zijn ontvangen, retourneren het IPv4-toegewezen IPv6-adres van een blokpagina.
Ondersteunt Umbrella een IPv6-blokkeringspagina of meer in het algemeen het blokkeren van IPv6-verzoeken?
Het is waar dat blokpagina's niet bereikbaar zijn via IPv6, maar er is een beetje een verkeerde benaming met "IPv6-verzoeken blokkeren". Umbrella staat domeinen toe of blokkeert deze, die geen IPv4- of IPv6-adressen zijn. De Umbrella DNS-service lost domeinen op naar IPv4- of IPv6-adressen. Wanneer Umbrella iets blokkeert, retourneert het een IPv4-adres voor A-queries of een IPv4-toegewezen IPv6-adres voor AAAA-queries. Het IP-adres dat wordt geretourneerd, is het adres voor de Umbrella-blokpagina in plaats van het domein.
In beide gevallen is het geretourneerde IP-adres alleen toegankelijk via IPv4, dus de client moet ten minste IPv4-geschikt zijn om er vervolgens verbinding mee te maken.
Wanneer een verzoek wordt geproxydeerd via de Umbrella intelligente proxy, zijn de dingen vrijwel hetzelfde. AAAA-verzoeken voor grijslijstdomeinen, ontvangen via IPv4, retourneert het IPv4-toegewezen IPv6-adres van een proxy. De client moet geschikt zijn voor IPv4 om vervolgens verbinding te kunnen maken met de proxy.
Als een IPv6 AAAA-verzoek is toegestaan, registreert Umbrella dat dan?
Ja, Umbrella registreert het op voorwaarde dat het verzoek afkomstig is van een geregistreerde identiteit of identiteiten. Netwerken met IPv6-adressen moeten ook worden geregistreerd om te worden aangemeld bij rapporten. Hetzelfde geldt voor roamende klanten of andere identiteitstypen.
Kan ik een IPv6-netwerk registreren bij Umbrella?
Ja! Wees onze gast en schrijf je in.
Zijn er verwachte scenario's waarbij de dekking niet van toepassing is zoals verwacht op een dual stack-netwerk met IPv6 DNS-servers?
Ja. Als de overkoepelende IPv4-resolvers niet bereikbaar zijn, is IPv4-gebonden DNS onbeveiligd. Als de overkoepelende IPv6-resolvers niet bereikbaar zijn, is IPv6-gebonden DNS onbeveiligd. Het is mogelijk om een of beide omleidingen onbeschermd te hebben vanwege netwerkbeperkingen. Zie de volgende vraag voor een voorbeeldscenario.
Wat als ik een toegankelijke IPv6 DNS-server heb, maar de overkoepelende IPv6-resolvers niet toegankelijk zijn? Kan de klant bescherming behouden?
Windows: IPv6-beveiliging blijft offline omdat Umbrella niet toegankelijk is op IPv6. DNS die naar de lokale IPv6-resolver wordt verzonden, wordt normaal opgelost, buiten de client. Aangezien onze IPv4 openbare DNS-resolvers beschikbaar waren, wordt elke DNS die naar de IPv4 DNS-stack wordt verzonden, beschermd door Umbrella. Daarom is DNS verzonden via IPv6 niet beveiligd, terwijl DNS verzonden naar IPv4 is beveiligd. Een voorbeeld in het veld is een mobiele hotspot met een IPv6 DNS-server, maar geen IPv6-toegang tot onze resolvers.
Wat als mijn netwerkinterface enkele lokale alleen IPv6 DNS-servers heeft zoals "fec0:......."
Windows: Vanaf versie 2.2.109 kan dit inconsistent gedrag veroorzaken. Dit wordt opgelost in onze volgende release en wordt niet verwerkt door de roamingclient.
Heeft de IPv4-status van de client überhaupt interactie met de IPv6-status?
Windows: Nee. Het zijn volledig onafhankelijke toestanden, afhankelijk van de beschikbaarheid van het netwerk en de aanwezigheid van een DNS-server voor elk protocol.
Kan IPv6 DNS worden omgeleid naar IPv4 DNS-servers als Umbrella alleen toegankelijk is op IPv4, maar de computer zich op een IPv6-netwerk bevindt?
Windows: Nee. De client verzendt alleen DNS naar IPv6-resolvers voor IPv6 DNS-omleiding, indien beschikbaar. IPv6-gebonden DNS wordt niet naar onze IPv4-resolvers verzonden en kan geen beleid ontvangen.
Is macOS anders dan Windows?
Ja. macOS heeft een centrale opslaglocatie voor zowel IPv6- als IPv4-DNS en we bestellen onze opslag dienovereenkomstig voor lokale DNS. DNS blijft doorstromen naar 127.0.0.1 op macOS, in tegenstelling tot Windows.
Als op het netwerk achter een VA voor IPv4 DNS, kan de IPv6-component ook uitschakelen achter het virtuele toestel?
Niet op dit moment totdat de VA IPv6-geschikt is. De IPv6-omleidingscomponent van de roamingclient blijft actief, gecodeerd en beveiligd voor IPv6-gebonden DNS-verzoeken.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
09-Sep-2025
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)