Mac-Firewall für statische Route öffnen

Weil sich auf meinem Router keine statische Route einrichten lässt, habe ich versucht, auf einem im LAN angekoppelten Mac eine feste Route einzutragen (static routes). Die Befehlseingabe klappt zwar fehlerfrei (sudo route add -net 10.11.12 192.168.0.10), aber die optionale Firewall „Little Snitch“, die den ausgehenden IP-Verkehr kontrolliert, lässt von Haus aus keine Pakete in das VPN-Subnetz hinaus. Prinzipiell sollte es gehen, denn wenn ich provisorisch die Option „confirm connection alert automatically“ einschalte, kommen die VPN-Verbindungen wie erwartet zustande. Weil so aber alle Abfragen der Firewall automatisch abgenickt werden, also auch solche, die ich eigentlich ablehnen möchte, ist das keine Lösung. Ich finde aber keine Option, um in Little Snitch eine Regel für ausgehenden Verkehr zu einem Subnetz zuzulassen.

Little Snitch hat durchaus eine solche Option, aber sie ist im Konfigurationsfeld für die Regeln in der Tat nicht ganz offensichtlich bezeichnet: „Allow connections, All Applications, To the following destinations: Server“. Die Funktion berücksichtigt nicht nur einzelne Zieladressen, sondern auch ganze Subnetze.

Öffnen Sie das Fenster für die Firewall-Regeln und legen Sie eine neue an (auf das +-Icon klicken). Übernehmen Sie alle Voreinstellungen bis auf die Option „Server“. Schalten Sie dort von der Voreinstellung „Any Server“ auf den Menüeintrag „IP-Address“ um und tragen Sie dann im darunterliegenden Feld den VPN-Adressbereich ein, und zwar mit der für Subnetze üblichen Notation. Wenn also das VPN-Netz den Adressraum 10.11.12.x verwendet und die LAN-Clients auf das gesamte VPN zugreifen sollen, trägt man dort 10.11.12.0/24 ein. Die übrigen Einstellungen übernimmt man – wenn alle Ports und Protokolle zugelassen sein sollen. (dz)