In meinem Blogartikel Zscaler App zTunnel Version 2.0 – Facts & Deployment wurden die Facts, Tücken und das Deployment für den Tunnel 2.0 vorgestellt. Dazumal war das IPv6 Feature noch nicht im Zscaler Client Connector (ZCC) enthalten. Nun gibt es verschiedene Features im Zscaler Client Connector, die sich um IPv6 drehen. Dieser Blogartikel gibt eine Übersicht, was der Zscaler Client Connector in diesem Bereich nun schon kann. 🙂


Am Anfang war...

Vor gut zwei Jahren hatte der ZCC noch nicht die Möglichkeiten, in den IPv6 Traffic einzugreifen. Dazumal war man darauf angewiesen, den IPv6 Traffic anderweitig zu administrieren. Möglichkeiten für das Blockieren des IPv6 Traffics waren beispielsweise das Deaktivieren des IPv6 Adapters, Anpassungen in den Registry Keys oder die Administration des IPv6 Traffics via Endpoint Firewall. Was dazumal schon gut funktionierte, funktioniert auch heute noch einwandfrei. Neu kann der ZCC uns dabei sogar noch unterstützen.


Heute kann…

Mit den neueren ZCC-Versionen sind zwei neue Features für das IPv6 Traffic Handling implementiert worden. Das erste Feature, seit der Version 3.4 verfügbar, heisst «Prioritize IPv4 over IPv6». Dieses Feature greift so in das Betriebssystem ein, dass der IPv4 Traffic über den IPv6 Traffic priorisiert wird. Soweit so gut und sicherlich ein erster Schritt in die richtige Richtung, wenn man IPv6 Traffic unterbinden möchte. Je nachdem wie die Umsysteme oder Destinationsseiten konfiguriert sind und kein IPv4 Traffic möglich ist, so können die Benutzer dennoch weiterhin über IPv6 kommunizieren.

Quelle: App Profil Einstellungen Zscaler Client Connector, abgerufen am 13.8.21

Das zweite Feature kam mit der Version 3.5 und heisst «Drop IPv6 Traffic». Dieses Feature ist Teil der Forwarding Konfiguration für die Forwarding Methode Tunnel 1.0 und 2.0 im Forwarding Profil.

Quelle: Forwarding Profil Einstellungen Zscaler Client Connector, abgerufen am 13.8.21

Wird dieses Feature aktiviert, so inspiziert und blockiert der ZCC den IPv6 Traffic auf dem Default Interface. Eine Überprüfung der eigenen Konnektivitätsmöglichkeiten auf beispielsweise ipv6-test.com zeigt auf, dass das Device keine IPv6 Konnektivität mehr hat. 🙂

Drop IPv6 Traffic Feature aktiv

Quelle: Übersicht IPv6 Verfügbarkeit auf der Seite https://ipv6-test.com, abgerufen am 13.8.21

Drop IPv6 Traffic Feature inaktiv

Quelle: Übersicht IPv6 Verfügbarkeit auf der Seite https://ipv6-test.com, abgerufen am 13.8.21

Mit dem Drop IPv6 Feature ist ein weiterer Schritt in Richtung der Konfiguration von IPv6 gemacht worden. Komplex bleibt es zur Zeit weiterhin bei Mixkonfigurationen, in welchen IPv6 nicht vollständig deaktiviert werden kann und entsprechend eine spezifische Konfiguration benötigt wird. In diesen Konfigurationen ist man weiterhin auf das Zusammenspiel der verschiedenen Konfigurationsmöglichkeiten des Betriebssystems sowie anderen Applikationen, wie zum Beispiel der Endpoint Firewall, angewiesen.


Die Zukunft bringt…

Aktuell ist der ZCC stark in der Weiterentwicklung und ich gehe davon aus, dass in naher Zukunft viele weitere neue Features für den ZCC verfügbar sein werden. Ich freue mich schon darauf. 🙂