VPN Routen nur für bestehende Verbindungen

Es kann gewünscht sein, die Routen für VPN-Verbindungen Nur für interne Prüfzwecke erst dann zu setzen, wenn die Verbindung wirklich steht.

1. Dadurch wird verhindert das Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern.
2. Dies kann von Vorteil sein wenn zum Beispiel VoIP durch den Tunnel gehen soll.
3. Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird.

Verbindung per SSH oder über Menü Extras CLI : route set id <ID> flags BLACKHOLE_IF_OFFLINE

Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE
Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist.
Bei SSL-VPN oder bei Wireguard zum Beispiel wenn der Tunnel nicht steht.
Zuvor kann mit route get die korrekte Verbindungs-ID ermittelt werden