Fortinet – Blackhole Routes

Hin und wieder stolpere ich über ein Problem mit Fortigate-Firewalls, die den Datenverkehr für ein Netzwerk ins Internet weiterleiten, das über einen Site-to-Site-Tunnel verbunden ist.

Dies geschieht, wenn der Tunnel ausfällt, die Route aus der Routing-Tabelle gelöscht wird und die Standardroute die letzte verbleibende ist.

Neue Sessions über die WAN-Verbindung bleiben bestehen und der Datenverkehr wird nicht über den Tunnel gesendet, wenn er erneut gestartet wird. Die Lösung hierfür sind Blackhole-Routen für die über VPN verbundenen Netzwerke.

(Thread im Fortinet Forum hie: https://forum.fortinet.com/FindPost/120872)

config router static
edit 0
    set blackhole enable
    set distance 254
    set dst 0.0.0.0 255.0.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 10.0.0.0 255.0.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 100.64.0.0 255.192.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 169.254.0.0 255.255.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 172.16.0.0 255.240.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 192.0.0.0 255.255.255.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 192.0.2.0 255.255.255.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 192.168.0.0 255.255.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 198.18.0.0 255.254.0.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 198.51.100.0 255.255.255.0
next
edit 0
    set blackhole enable
    set distance 254
    set dst 203.0.113.0 255.255.255.0
next
end
Author: Peter