March 7, 2026

DNS Split-Horizon für VPN: SRV, TTL, Resolver Performance und Leaks

DNS Split-Horizon ist eine zentrale Technik in VPN-Umgebungen, um interne und externe DNS-Auflösungen sauber zu trennen. Dabei werden interne FQDNs über interne DNS-Server aufgelöst, während externe Abfragen direkt an öffentliche Resolver geleitet werden. Richtig implementiert, schützt Split-Horizon vor DNS-Leaks, verbessert die Performance von Resolvern und ermöglicht eine gezielte Nutzung von SRV-Records und TTL-Werten für Dienste innerhalb des Unternehmens. Dieses Tutorial zeigt praxisnah, wie Split-Horizon für VPNs konfiguriert und optimiert wird.

Grundlagen von DNS Split-Horizon

Split-Horizon oder Split-DNS bedeutet, dass ein DNS-Server unterschiedliche Antworten liefert, abhängig davon, von welchem Netzwerksegment die Anfrage kommt. VPN-Clients nutzen in der Regel die internen DNS-Server, um interne Ressourcen korrekt aufzulösen.

Vorteile von Split-Horizon

  • Schutz vor ungewollten DNS-Leaks
  • Trennung von internen und externen Namensauflösungen
  • Optimierte Auflösung für interne Dienste, z. B. Active Directory SRV-Records
  • Reduzierung unnötigen Traffics über das VPN

DNS-Server und Resolver Performance

Die Performance von DNS-Resolvern beeinflusst direkt die Geschwindigkeit von VPN-Verbindungen. Interne Resolver sollten effizient konfiguriert sein, um Verzögerungen bei Anfragen zu minimieren.

Best Practices für Resolver

  • Caching aktivieren, um wiederholte Abfragen zu beschleunigen
  • Primär- und Sekundärserver für Redundanz nutzen
  • Split-DNS-Zonen klar definieren, um unnötige Anfragen zu vermeiden

Beispiel Microsoft DNS Server für Split-Horizon

! Internes Forward-Lookup-Zone
zone "internal.company.local" {
 type master;
 file "internal.company.local.dns";
 allow-query { 10.10.0.0/24; 10.20.0.0/24; };
};

! Externes Forward-Lookup-Zone

zone "company.com" {

type master;

file "company.com.dns";

allow-query { any; };

};

SRV-Records für interne Dienste

SRV-Records werden oft für Services wie Active Directory oder SIP genutzt. Bei Split-Horizon ist es wichtig, dass diese Records nur intern verfügbar sind, um korrekte Service-Discovery zu gewährleisten.

Beispiel SRV-Record für AD

_ldap._tcp.dc._msdcs.internal.company.local. 3600 IN SRV 0 100 389 dc1.internal.company.local.
_kerberos._tcp.dc._msdcs.internal.company.local. 3600 IN SRV 0 100 88 dc1.internal.company.local.

TTL-Einstellungen

Die TTL-Werte beeinflussen die Cache-Dauer bei Resolvern. Kurze TTLs erlauben schnelle Updates, lange TTLs reduzieren Traffic. Für interne SRV-Records empfiehlt sich eine moderate TTL:

TTL = 3600 Sekunden (1 Stunde)

Vermeidung von DNS-Leaks

Ein DNS-Leak tritt auf, wenn Anfragen für interne Domains über das öffentliche Internet geleitet werden. Split-Horizon in Kombination mit VPN-Client-Policies verhindert dies.

Client-Policy für VPN

! Cisco AnyConnect
group-policy RemoteUsers internal
group-policy RemoteUsers attributes
 dns-server value 10.10.0.10 10.10.0.11
 vpn-split-dns value internal.company.local

Monitoring von DNS-Traffic

  • Überwachung der ausgehenden DNS-Abfragen
  • Analyse von Resolver-Logs auf ungewollte externe Anfragen
  • Alerting bei Leaks von internen Domains

Split Include/Exclude für DNS und Routing

Neben DNS-Policies sollten auch Routing-Entscheidungen klar definiert werden. Split Include leitet nur interne Subnetze über das VPN, Split Exclude leitet alles außer den ausgeschlossenen Netzen.

Beispiel Cisco ASA – Split-DNS und Routing

group-policy RemoteUsers attributes
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Internal_Subnets
 split-dns value internal.company.local

access-list Internal_Subnets standard permit 10.10.0.0 255.255.255.0

access-list Internal_Subnets standard permit 10.20.0.0 255.255.255.0

Best Practices für Routing

  • Nur interne Netze über VPN routen
  • Externen Traffic direkt ins Internet leiten
  • DNS-Requests für interne Domains ausschließlich über interne Resolver

Monitoring und Performance-Optimierung

Ein kontinuierliches Monitoring der DNS-Server und VPN-Clients ist notwendig, um Performance-Probleme oder Fehlkonfigurationen zu erkennen. Tools wie nslookup, dig und Resolver-Logs helfen bei der Analyse.

Beispiel Monitoring-Befehl

nslookup dc1.internal.company.local 10.10.0.10
dig _ldap._tcp.dc._msdcs.internal.company.local @10.10.0.10

Optimierungsmaßnahmen

  • Caching auf Resolvern aktivieren und TTL-Werte anpassen
  • Redundante interne DNS-Server für hohe Verfügbarkeit
  • Split-Horizon-Zonen sauber trennen, um Konflikte zu vermeiden

IP-Adressierung und Subnetzplanung für Split-Horizon

Eine klare Subnetzstruktur erleichtert die Konfiguration von Split-DNS und Routing.

Beispiel Subnetze

HR-Netz: 10.10.0.0/24
Finance-Netz: 10.20.0.0/24
Externe Netze: 0.0.0.0/0 (nicht über VPN)

Subnetzberechnung

Beispiel: HR-Netz mit 120 Hosts

mrow{ Hosts = 120, BenötigteIPs = 120 + 2 = 122 }
text{Subnetzgröße} = 2^n ge 122 implies n = 7 text{ (128 IPs)}

Zusammenfassung der Umsetzung

  • Split-Horizon DNS für interne/externe Namensauflösung implementieren
  • SRV-Records für interne Dienste korrekt pflegen
  • TTL-Werte und Caching für Resolver optimieren
  • DNS-Leaks durch VPN-Client-Policies verhindern
  • Split Include/Exclude für Routing und DNS sauber definieren
  • Monitoring und regelmäßige Audits der DNS- und VPN-Konfiguration durchführen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Multi-Region Remote Access: Geo Steering und Policy Consistency

Best Practices Katalog: 50 Regeln für VPN Setup & Remote Access im Telco-Netz

Remote Access für Edge Sites: Low Bandwidth, High Latency und Resilienz

VPN Setup & Remote Access im Telekommunikationsnetz: Referenzframework für Experten

Vendor-Interop: Cisco/Fortinet/Palo Alto/Juniper Remote Access Patterns

Automatisierung: VPN Provisioning per API, Terraform und Ansible

GitOps für Remote Access Policies: PR Reviews und Change Gates

Secrets Rotation automatisieren: Keys/Zertifikate ohne Downtime

Standardisierte Profile: Templates für Rollen, Standorte und Kundensegmente

“Remote Access as Code”: Policies versionieren und testen

Compliance Mapping: ISO 27001/NIS2/BSI in Remote Access Controls übersetzen

Remote Access Audit Report: Struktur, Findings, Evidence und Maßnahmen