Client Policies: DNS, Routes, Split Include/Exclude sauber definieren

In modernen VPN- und Remote-Access-Umgebungen sind Client Policies entscheidend, um eine sichere und performante Verbindung zu gewährleisten. Dazu gehören die Konfiguration von DNS-Servern, das Routing über den VPN-Tunnel sowie die saubere Definition von Split-Tunneling über Include- oder Exclude-Listen. Eine korrekte Client-Policy sorgt dafür, dass nur der notwendige Datenverkehr über den Tunnel geleitet wird, interne Ressourcen erreichbar sind und externe Verbindungen direkt das Internet nutzen können. In diesem Tutorial zeigen wir praxisnah, wie Client Policies optimal definiert werden.

DNS-Konfiguration für VPN-Clients

Die richtige DNS-Einstellung stellt sicher, dass interne Ressourcen korrekt aufgelöst werden, ohne dass externe Abfragen über den VPN-Tunnel unnötig belastet werden.

Wichtige Punkte bei der DNS-Konfiguration

• Interne DNS-Server für Unternehmensressourcen
• Optionaler Split-DNS für interne und externe Abfragen
• Vermeidung von DNS-Leaks, die interne Strukturen offenlegen

Beispiel Cisco AnyConnect Client-Policy

group-policy RemoteUsers internal
group-policy RemoteUsers attributes
 dns-server value 10.10.0.10 10.10.0.11
 vpn-split-dns value internal.company.local

Beispiel Juniper SRX

set access profile VPN_Profile client-dns primary 10.10.0.10
set access profile VPN_Profile client-dns secondary 10.10.0.11
set access profile VPN_Profile split-dns domain internal.company.local

Routing und Split-Tunneling

Routing-Einstellungen bestimmen, welche Netze über den VPN-Tunnel geleitet werden. Split-Tunneling erlaubt es, nur bestimmte Subnetze über das VPN zu transportieren, während Internetverkehr direkt geroutet wird.

Split Include vs. Split Exclude

• Split Include: Nur definierte Netze gehen über den VPN-Tunnel, alle anderen Verbindungen nutzen das lokale Internet.
• Split Exclude: Alle Netze gehen über VPN, außer die explizit ausgeschlossenen Netze.

Beispiel Cisco ASA – Split Include

group-policy RemoteUsers attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Remote_Subnets
access-list Remote_Subnets standard permit 10.10.0.0 255.255.255.0

access-list Remote_Subnets standard permit 10.20.0.0 255.255.255.0

Beispiel Cisco ASA – Split Exclude

group-policy RemoteUsers attributes
 split-tunnel-policy exclude
 split-tunnel-network-list value Exclude_Subnets
access-list Exclude_Subnets standard permit 192.168.0.0 255.255.255.0

Best Practices für Client Policies

• Nur notwendige interne Netze im Split-Tunnel definieren
• DNS-Server für interne Auflösung bereitstellen
• Externe Internetverbindungen möglichst direkt routen, um Tunnellast zu reduzieren
• Regelmäßige Überprüfung der Policies auf Änderungen in der Netzwerkstruktur
• Audit und Monitoring zur Erkennung fehlerhafter oder unsicherer Konfiguration

IP-Adressierung und Subnetzplanung für Split-Tunneling

Die Zuweisung von Subnetzen erleichtert die Definition von Split-Tunnel-Routen:

Internes Netz HR: 10.10.0.0/24
Internes Netz Finance: 10.20.0.0/24
Externe Netze: 0.0.0.0/0 (nicht im Tunnel)

Subnetzberechnung

Beispiel: 100 Hosts im HR-Netz

mrow{ Hosts = 100, BenötigteIPs = 100 + 2 = 102 }
text{Subnetzgröße} = 2^n ge 102 implies n = 7 text{ (128 IPs)}

Monitoring und Troubleshooting

Nach der Implementierung sollten Client Policies regelmäßig überprüft werden. Monitoring ermöglicht das Erkennen von falsch geroutetem Traffic oder DNS-Problemen.

Empfohlene Maßnahmen

• VPN-Logs auf fehlerhafte oder blockierte Routen prüfen
• DNS-Abfragen testen und auf Leaks überwachen
• Netzwerk-Performance überwachen, um Tunnelüberlastungen zu vermeiden

Zusammenfassung der Umsetzung

• DNS sauber konfigurieren und Split-DNS nutzen
• Routing über Split Include/Exclude definieren
• Ressourcen nur gezielt über VPN leiten, um Last zu reduzieren
• Regelmäßiges Monitoring und Policy-Audits durchführen
• Subnetze und IP-Adressen für klare Trennung und Planung verwenden

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.