A resposta correta é criar uma interface de loopback. Quando nada é conectado ao bgroup da LAN, a interface fica "inativa" e todas as rotas associadas a ela são removidas da tabela de roteamento. Esse é um comportamento que você quer, na verdade, já que ajuda ao usar VPNs redundantes baseadas em rotas - é a única maneira de um dispositivo saber "que o túnel está inoperante e agora eu deveria rotear para aqui".
Ok, então o que você faz é:
- No seu vrouter - provavelmente o trust-vr - marque a opção "Ignorar Conflito de Sub-rede para Interfaces neste VRouter"
- Crie uma nova interface de loopback.1
- Insira o último endereço no seu espaço de grupo da LAN, com uma máscara de rede / 32. Por exemplo, se o seu grupo de LANs tiver 192.168.1.0/24, o loopback.1 será 192.168.1.254/32. Análogo para espaços de rede menores.
- Certifique-se de que seu servidor DHCP nesse bgroup não inclua o endereço da interface de loopback em seu (s) pool (s) de IPs.
Agora você pode gerenciar a unidade usando esse endereço IP de loopback, que sempre permanecerá acessível; e você não precisou abrir espaço de endereço adicional para fazer isso.
Garantir que um túnel permaneça "acima" é uma preocupação totalmente diferente. No ScreenOS, isso pode ser feito com a opção "monitor rekey" (e "otimizado" para uma boa medida se você quiser, com um IP de destino e porta de origem específicos se o exterior não for pingável e possivelmente com um intervalo de 5 em vez de 1 se as linhas que você passar forem ISPs residenciais). Isso não tem nada a ver com a capacidade de gerenciar, no entanto. Pode dar-lhe boa indicação e aviso antecipado de falha de VPN, se você configurar um servidor que recebe logs e envia notificações para a equipe em "VPN Down". Ele também tem o risco de fazer a "aba" de sua VPN se você configurar incorretamente - ou seja, se o endereço que o Monitor está executando ping não puder ser pingado, ou se o intervalo for muito agressivo para a qualidade / latência da conexão do ISP ( s). Isso pode ser feito, por exemplo, através do ping do endereço de loopback através do túnel: Você não estará contando com o endereço externo que pode ser acessado pelo ping.