“Kein Internet im Tunnel”: DNS, Routes und Split Policies debuggen

Das Problem „Kein Internet im Tunnel“ tritt häufig bei Remote-Access-VPNs auf. Benutzer sind erfolgreich verbunden, können aber keine externen Ressourcen erreichen. Ursachen liegen oft in DNS-Konfigurationen, Routing-Problemen oder fehlerhaften Split Policies. Dieses Tutorial zeigt systematisch, wie man DNS, Routen und Split-Tunneling-Policies debuggt, um die Internet-Konnektivität im Tunnel wiederherzustellen.

DNS überprüfen

DNS-Probleme sind eine der häufigsten Ursachen dafür, dass Benutzer „kein Internet“ im VPN-Tunnel haben. Häufig kann der Client interne Hosts auflösen, aber externe Domains nicht.

Prüfungen

• Verwendung der richtigen DNS-Server für interne und externe Auflösung
• Split DNS richtig konfiguriert für interne Ressourcen
• Clientseitiges Caching überprüfen
• Firewall-Regeln, die DNS blockieren, identifizieren

Beispiel CLI Prüfungen

nslookup google.com
ping google.com
dig vpn.company.local
ipconfig /flushdns (Windows)
systemd-resolve --flush-caches (Linux)

Routing prüfen

Fehlerhafte Routing-Tabellen verhindern den Zugriff auf das Internet trotz aktiver VPN-Verbindung. Besonders bei Split-Tunneling kann die Route für Default Gateway oder externe Netze fehlen.

Prüfungen

• Routen auf Client und VPN-Gateway überprüfen
• Default Gateway über Tunnel richtig gesetzt?
• Split-Tunnel-Policies korrekt angewendet?
• Traceroute nutzen, um den Pfad zu externen Ressourcen zu verfolgen

Beispiel CLI Prüfungen

route print (Windows)
ip route show (Linux)
traceroute 8.8.8.8
show route (Cisco ASA)

Split-Tunneling-Policies debuggen

Split-Tunneling ermöglicht die gleichzeitige Nutzung von VPN für interne Ressourcen und direktes Internet über das lokale Netzwerk. Fehlerhafte Policies führen zu „kein Internet“-Problemen.

Zu prüfende Punkte

• Welche Subnetze werden über den Tunnel geroutet?
• Externe Internet-Routen korrekt ausgeschlossen oder inkludiert?
• Firewall/ACL auf dem Gateway blockiert externe Ziele?
• Konflikte zwischen VPN-Client- und Gateway-Routing

Beispiel CLI Prüfungen Cisco ASA

show run group-policy
show run tunnel-group
show vpn-sessiondb detail
show access-list

NAT- und Firewall-Konfiguration prüfen

Fehlerhafte NAT- oder Firewall-Regeln verhindern die Weiterleitung des Internet-Traffics.

Prüfungen

• NAT für VPN-Pool korrekt eingerichtet?
• Port Address Translation (PAT) für Internetzugriff aktiv?
• Firewall erlaubt UDP/TCP Traffic aus dem Tunnel?
• Keine Overlapping IPs zwischen VPN und externem Netzwerk

Beispiel CLI

show nat
show xlate
show conn count
show access-list

Clientseitige Checks

Der Client selbst kann Ursache von Internetproblemen sein, z.B. durch lokale Firewall, Routing oder DNS-Caching.

Prüfungen

• VPN-Client Logs auf Fehler prüfen
• Firewall oder Security Software deaktivieren und testen
• Interface neu starten und IP prüfen
• Ping/Traceroute zu externen Zielen durchführen

Monitoring und Logging

Um Probleme systematisch zu erkennen, sollten Logs und Monitoring genutzt werden.

Empfohlene Metriken

• VPN-Session Aufbauzeiten und Tunnel Health
• Packet Loss und Jitter
• ACL Hits und NAT Übersetzungen
• DNS Query Times und Fehler
• Fehlgeschlagene Authentifizierungen oder Verbindungsabbrüche

Beispiel CLI Monitoring Cisco ASA

show vpn-sessiondb detail
show vpn-sessiondb summary
show conn count
show xlate count
show log | include "deny"

Subnetz- und IP-Planung

Eine saubere IP-Struktur erleichtert Debugging und Troubleshooting bei Remote Access.

Beispiel Subnetzplanung

Remote VPN Clients: 10.10.10.0/24
Corporate Resources: 10.20.0.0/24
Internet Traffic: NAT über 203.0.113.10/30
Management: 10.30.10.0/24

Subnetzberechnung

Beispiel: 200 gleichzeitige VPN-User

Hosts = 200, BenötigteIPs = 200 + 2 = 202
2^n ge 202
n = 8 → 256 IPs (/24)

Best Practices Troubleshooting

• Systematisches Debugging: DNS → Routing → Split Policies → NAT/Firewall → Client
• Monitoring und Logging für Tunnel Health, Packet Loss und DNS verwenden
• Subnetzplanung und IP-Management sauber dokumentieren
• Alerting bei Tunnel-Fehlern oder DNS-Ausfällen
• Regelmäßige Tests von Remote Access Szenarien
• Dokumentation von Troubleshooting-Schritten
• Split-Tunnel Policies und NAT regelmäßig validieren
• Integration von VPN- und Firewall-Logs in SIEM-Systeme

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.