Sollte eine IPSEC VPN einen kurzen Disconnect haben, kann es vorkommen das der Traffic, obwohl der Tunnel wieder steht, aufs Wan Interface geschickt wird.
Man kann dieses Problem von Hand jedesmal lösen gehen, indem man die "falschen" TCP/UDP" Session abschiessen geht. So das sie neu aufgebaut werden und dann ins richtige Interface geroutet wird. Am Besten löst man es aber Nachhaltig das man keine manuelle Eingriffe mehr machen muss mit einer sogenannten Blackhole Route. Dieser Routeneintrag wird den Traffic dann dropen.
Mit diesem Befehl holt man sich einmal ab über die CLI, was für static Routen eingetragen sind:
Ausgabe wird dann etwa so aussehen:
Alles anzeigen
Der höchste Eintrag ist in meinem Beispiel die "2" somit erstelle ich nun die Nummer 3. Bitte nehmt eine höhere Distanz als die richtige Route.
Et Volia. Durch diesen Blackhole Routeneintrag werden die neuen Session gedroppt, die nicht über den Tunnel geschickt werden können.
Wenn der Tunnel wieder Online ist, werden die Session wieder korrekt in den Tunnel geroutet.
Man kann dieses Problem von Hand jedesmal lösen gehen, indem man die "falschen" TCP/UDP" Session abschiessen geht. So das sie neu aufgebaut werden und dann ins richtige Interface geroutet wird. Am Besten löst man es aber Nachhaltig das man keine manuelle Eingriffe mehr machen muss mit einer sogenannten Blackhole Route. Dieser Routeneintrag wird den Traffic dann dropen.
Mit diesem Befehl holt man sich einmal ab über die CLI, was für static Routen eingetragen sind:
Ausgabe wird dann etwa so aussehen:
Quellcode
Der höchste Eintrag ist in meinem Beispiel die "2" somit erstelle ich nun die Nummer 3. Bitte nehmt eine höhere Distanz als die richtige Route.
Et Volia. Durch diesen Blackhole Routeneintrag werden die neuen Session gedroppt, die nicht über den Tunnel geschickt werden können.
Wenn der Tunnel wieder Online ist, werden die Session wieder korrekt in den Tunnel geroutet.
Wenn "Server" eine Religion ist, haben wir die passende Kathedrale dazu!
Mehr Infos unter www.fsit.com oder Facebook