VPN Routen nur für bestehende Verbindungen

Es kann gewünscht sein, die Routen für VPN-Verbindungen erst dann zu setzen, wenn die Verbindung wirklich steht.

• Dadurch wird unterbunden, daß Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern
• Dies kann zum Beispiel von Vorteil sein, wenn VoIP durch den Tunnel gehen soll
• Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird

Verbindung per SSH oder über Menü Extras CLI :

route get ermittelt die korrekte Verbindungs-ID

route set id <ID> flags BLACKHOLE_IF_OFFLINE

Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE
Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist.
Bei SSL-VPN oder bei Wireguard zum Beispiel, wenn der Tunnel nicht steht.