Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | VPN Routen nur für bestehende Verbindungen | }} {{var | head | VPN Routen erst setzen, wenn die Verbindung steht | }} {{var | Ausgangslage | Ausgangslage | }} {{var | Ausgangslage--desc | Es kann gewünscht sein, die Routen für VPN-Verbindungen {{f|Was für Routen?, Wer setzt die?}} erst dann zu setzen, wenn die Verbindung wirklich steht. # Dadurch wird verhindert das…“ |
K 1 Version importiert |
||
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| VPN Routen nur für bestehende Verbindungen | | VPN Routen nur für bestehende Verbindungen | ||
| | | VPN routes only for existing connections }} | ||
{{var | head | {{var | head | ||
| VPN Routen erst setzen, wenn die Verbindung steht | | VPN Routen erst setzen, wenn die Verbindung steht (Blackhole) | ||
| | | Only set VPN routes when the connection is established (Blackhole) }} | ||
{{var | Ausgangslage | {{var | Ausgangslage | ||
| Ausgangslage | | Ausgangslage | ||
| | | Initial situation }} | ||
{{var | Ausgangslage--desc | {{var | Ausgangslage--desc | ||
| Es kann gewünscht sein, die Routen für VPN-Verbindungen | | Es kann gewünscht sein, die Routen für VPN-Verbindungen erst dann zu setzen, wenn die Verbindung wirklich steht. | ||
* Dadurch wird unterbunden, daß Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern | |||
* Dies kann zum Beispiel von Vorteil sein, wenn VoIP durch den Tunnel gehen soll | |||
* Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird | |||
| | | It may be desirable to set the routes for VPN connections only when the connection is actually established. | ||
* This prevents packets from being routed to the Internet and stored by Conntrack, thus preventing the connection from being established correctly | |||
* This can be advantageous, for example, if VoIP is to go through the tunnel | |||
* Load balancing via a second firewall is significantly simplified if only the UTM receives a route where the tunnel is actually established }} | |||
{{var | BLACKHOLE_IF_OFFLINE--desc | {{var | BLACKHOLE_IF_OFFLINE--desc | ||
| Z.B.: {{code|route set id "2" flags BLACKHOLE_IF_OFFLINE}}<br>Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist. <br>Bei SSL-VPN oder bei Wireguard zum Beispiel wenn der Tunnel nicht steht. | | Z.B.: {{code|route set id "2" flags BLACKHOLE_IF_OFFLINE}}<br>Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist. <br>Bei SSL-VPN oder bei Wireguard zum Beispiel, wenn der Tunnel nicht steht. | ||
| E.G.: {{code|route set id "2" flags BLACKHOLE_IF_OFFLINE}}<br>This command discards packets to this destination if the route does not exist. <br>With SSL VPN or Wireguard, for example, if the tunnel is not available. }} | |||
{{var | CLI-Befehl | {{var | CLI-Befehl | ||
| CLI-Befehl | | CLI-Befehl | ||
| | | CLI command }} | ||
{{var | CLI-Menu | {{var | CLI-Menu | ||
| Verbindung per ''SSH'' oder über Menü {{Menu-UTM|Extras|CLI}}: | | Verbindung per ''SSH'' oder über Menü {{Menu-UTM|Extras|CLI}}: | ||
| | | Connection via ''SSH'' or via menu {{Menu-UTM|Extras|CLI}}: }} | ||
{{var | Route nur bei aufgebauter Verbindung | {{var | Route nur bei aufgebauter Verbindung | ||
| Route nur bei aufgebauter Verbindung | | Route nur bei aufgebauter Verbindung | ||
| | | Route only with established connection }} | ||
{{var | | {{var | route get | ||
| | | {{code|route get}} ermittelt die korrekte Verbindungs-ID | ||
| | | {{code|route get}} determines the correct connection ID }} | ||
</div><div class="new_design"></div> | </div><div class="new_design"></div> | ||
<noinclude>{{Header| | <noinclude>{{Header|03.2024|new=true}}</noinclude>{{Select_lang}} | ||
<includeonly>{{Einblenden|{{#var:Route nur bei aufgebauter Verbindung}}|{{#var:hide}}|true|dezent tolltip}} | <includeonly>{{Einblenden|{{#var:Route nur bei aufgebauter Verbindung}}|{{#var:hide}}|true|dezent tolltip}} | ||
'''{{#var:Ausgangslage}}'''</includeonly> | '''{{#var:Ausgangslage}}'''</includeonly> | ||
| Zeile 49: | Zeile 48: | ||
<noinclude>=== {{#var:CLI-Befehl}} ===</noinclude> | <noinclude>=== {{#var:CLI-Befehl}} ===</noinclude> | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<p>{{#var:CLI-Menu}} {{code|route set id <ID> flags BLACKHOLE_IF_OFFLINE}}</p> | <p>{{#var:CLI-Menu}}</p><p>{{#var:route get}}</p><p>{{code|route set id <ID> flags BLACKHOLE_IF_OFFLINE}}</p> | ||
{{#var:BLACKHOLE_IF_OFFLINE--desc}} | <p>{{#var:BLACKHOLE_IF_OFFLINE--desc}}</p> | ||
</div> | </div> | ||
<includeonly></div></div></span></includeonly> | <includeonly></div></div></span></includeonly> | ||
Aktuelle Version vom 8. Oktober 2025, 08:03 Uhr
VPN Routen erst setzen, wenn die Verbindung steht (Blackhole)
Neuer Artikel: 03.2024
Dieser Artikel bezieht sich auf eine Beta-Version
-
Ausgangslage
Es kann gewünscht sein, die Routen für VPN-Verbindungen erst dann zu setzen, wenn die Verbindung wirklich steht.
- Dadurch wird unterbunden, daß Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern
- Dies kann zum Beispiel von Vorteil sein, wenn VoIP durch den Tunnel gehen soll
- Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird
CLI-Befehl
Verbindung per SSH oder über Menü :
route get ermittelt die korrekte Verbindungs-ID
route set id <ID> flags BLACKHOLE_IF_OFFLINE
Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE
Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist.
Bei SSL-VPN oder bei Wireguard zum Beispiel, wenn der Tunnel nicht steht.