(Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | VPN Routen nur für bestehende Verbindungen | }} {{var | head | VPN Routen erst setzen, wenn die Verbindung steht | }} {{var | Ausgangslage | Ausgangslage | }} {{var | Ausgangslage--desc | Es kann gewünscht sein, die Routen für VPN-Verbindungen {{f|Was für Routen?, Wer setzt die?}} erst dann zu setzen, wenn die Verbindung wirklich steht. # Dadurch wird verhindert das…“) |
(kein Unterschied)
|
Aktuelle Version vom 12. März 2024, 13:29 Uhr
VPN Routen erst setzen, wenn die Verbindung steht
Neuer Artikel zur Version: 12.6.2
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Ausgangslage
Es kann gewünscht sein, die Routen für VPN-Verbindungen Nur für interne Prüfzwecke erst dann zu setzen, wenn die Verbindung wirklich steht.
- Dadurch wird verhindert das Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern.
- Dies kann von Vorteil sein wenn zum Beispiel VoIP durch den Tunnel gehen soll.
- Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird.
CLI-Befehl
Verbindung per SSH oder über Menü route set id <ID> flags BLACKHOLE_IF_OFFLINE
:Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE
Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist.
Bei SSL-VPN oder bei Wireguard zum Beispiel wenn der Tunnel nicht steht.
Zuvor kann mit route get die korrekte Verbindungs-ID ermittelt werden