In modernen VPN- und Remote-Access-Umgebungen sind Client Policies entscheidend, um eine sichere und performante Verbindung zu gewährleisten. Dazu gehören die Konfiguration von DNS-Servern, das Routing über den VPN-Tunnel sowie die saubere Definition von Split-Tunneling über Include- oder Exclude-Listen. Eine korrekte Client-Policy sorgt dafür, dass nur der notwendige Datenverkehr über den Tunnel geleitet wird, interne Ressourcen erreichbar sind und externe Verbindungen direkt das Internet nutzen können. In diesem Tutorial zeigen wir praxisnah, wie Client Policies optimal definiert werden.
DNS-Konfiguration für VPN-Clients
Die richtige DNS-Einstellung stellt sicher, dass interne Ressourcen korrekt aufgelöst werden, ohne dass externe Abfragen über den VPN-Tunnel unnötig belastet werden.
Wichtige Punkte bei der DNS-Konfiguration
- Interne DNS-Server für Unternehmensressourcen
- Optionaler Split-DNS für interne und externe Abfragen
- Vermeidung von DNS-Leaks, die interne Strukturen offenlegen
Beispiel Cisco AnyConnect Client-Policy
group-policy RemoteUsers internal
group-policy RemoteUsers attributes
dns-server value 10.10.0.10 10.10.0.11
vpn-split-dns value internal.company.local
Beispiel Juniper SRX
set access profile VPN_Profile client-dns primary 10.10.0.10
set access profile VPN_Profile client-dns secondary 10.10.0.11
set access profile VPN_Profile split-dns domain internal.company.local
Routing und Split-Tunneling
Routing-Einstellungen bestimmen, welche Netze über den VPN-Tunnel geleitet werden. Split-Tunneling erlaubt es, nur bestimmte Subnetze über das VPN zu transportieren, während Internetverkehr direkt geroutet wird.
Split Include vs. Split Exclude
- Split Include: Nur definierte Netze gehen über den VPN-Tunnel, alle anderen Verbindungen nutzen das lokale Internet.
- Split Exclude: Alle Netze gehen über VPN, außer die explizit ausgeschlossenen Netze.
Beispiel Cisco ASA – Split Include
group-policy RemoteUsers attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Remote_Subnets
access-list Remote_Subnets standard permit 10.10.0.0 255.255.255.0
access-list Remote_Subnets standard permit 10.20.0.0 255.255.255.0
Beispiel Cisco ASA – Split Exclude
group-policy RemoteUsers attributes
split-tunnel-policy exclude
split-tunnel-network-list value Exclude_Subnets
access-list Exclude_Subnets standard permit 192.168.0.0 255.255.255.0
Best Practices für Client Policies
- Nur notwendige interne Netze im Split-Tunnel definieren
- DNS-Server für interne Auflösung bereitstellen
- Externe Internetverbindungen möglichst direkt routen, um Tunnellast zu reduzieren
- Regelmäßige Überprüfung der Policies auf Änderungen in der Netzwerkstruktur
- Audit und Monitoring zur Erkennung fehlerhafter oder unsicherer Konfiguration
IP-Adressierung und Subnetzplanung für Split-Tunneling
Die Zuweisung von Subnetzen erleichtert die Definition von Split-Tunnel-Routen:
Internes Netz HR: 10.10.0.0/24
Internes Netz Finance: 10.20.0.0/24
Externe Netze: 0.0.0.0/0 (nicht im Tunnel)
Subnetzberechnung
Beispiel: 100 Hosts im HR-Netz
Monitoring und Troubleshooting
Nach der Implementierung sollten Client Policies regelmäßig überprüft werden. Monitoring ermöglicht das Erkennen von falsch geroutetem Traffic oder DNS-Problemen.
Empfohlene Maßnahmen
- VPN-Logs auf fehlerhafte oder blockierte Routen prüfen
- DNS-Abfragen testen und auf Leaks überwachen
- Netzwerk-Performance überwachen, um Tunnelüberlastungen zu vermeiden
Zusammenfassung der Umsetzung
- DNS sauber konfigurieren und Split-DNS nutzen
- Routing über Split Include/Exclude definieren
- Ressourcen nur gezielt über VPN leiten, um Last zu reduzieren
- Regelmäßiges Monitoring und Policy-Audits durchführen
- Subnetze und IP-Adressen für klare Trennung und Planung verwenden
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
