Nicht immer laufen im Netzwerk alle Wege über ein einziges Gateway. Optimalerweise kennt aber ein System, das „Default Gateway“, alle Wege und übernimmt für alle Systeme im Netz die Routingentscheidungen.
Die Alternative, auf einzelnen Systemen Netzwerk- oder Hostrouten separat zu pflegen, ist arbeitsaufwändig und fehleranfällig beziehungsweise gar nicht überall möglich.
Liegt nun einer der Gateway Server im lokalen Netz, kann dem Client per „ICMP Redirect“ mitgeteilt werden, direkt den Weg über den anderen Router zu nehmen. Da diese Funktionalität aber auch einiges Risiko- und Missbrauchspotential bietet, ist diese bei vielen Systemen mittlerweile deaktiviert.
So anscheinend auch von Triumph-Adler, nach dem Tausch einiger MFP Systeme durch Nachfolgemodelle schlug die Kommunikation mit einem per VPN angebundenen Ziel fehl. Wurde der dafür zuständige Router als Default Gateway eingetragen, funktionierte diese jedoch wieder.
Das Problem lies sich in diesem Fall durch Abschalten der „ICMP Redirect“ Funktion auf dem pfSense Gateway unter System / Advanced / System Tunables / net.inet.ip.redirect“ lösen:
Sollte die Kommunikation im Anschluss noch nicht funktionieren bitte auch an die Firewallregeln denken! Da die Kommunikation nun über das LAN Interface erfolgt, muss sie dort auch erlaubt werden!