Wechseln zu:Navigation, Suche
Wiki

VPN Routen nur für bestehende Verbindungen

Version vom 8. Oktober 2025, 08:03 Uhr von Lauritzl (Diskussion | Beiträge) (1 Version importiert)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Aus Securepoint Wiki









































VPN Routen erst setzen, wenn die Verbindung steht (Blackhole)

Neuer Artikel: 03.2024

notempty
Dieser Artikel bezieht sich auf eine Beta-Version
-

Ausgangslage

Es kann gewünscht sein, die Routen für VPN-Verbindungen erst dann zu setzen, wenn die Verbindung wirklich steht.

  • Dadurch wird unterbunden, daß Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern
  • Dies kann zum Beispiel von Vorteil sein, wenn VoIP durch den Tunnel gehen soll
  • Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird

CLI-Befehl

Verbindung per SSH oder über Menü Extras CLI :

route get ermittelt die korrekte Verbindungs-ID

route set id <ID> flags BLACKHOLE_IF_OFFLINE

Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE
Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist.
Bei SSL-VPN oder bei Wireguard zum Beispiel, wenn der Tunnel nicht steht.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/Blackhole&oldid=98873