Das Problem „Kein Internet im Tunnel“ tritt häufig bei Remote-Access-VPNs auf. Benutzer sind erfolgreich verbunden, können aber keine externen Ressourcen erreichen. Ursachen liegen oft in DNS-Konfigurationen, Routing-Problemen oder fehlerhaften Split Policies. Dieses Tutorial zeigt systematisch, wie man DNS, Routen und Split-Tunneling-Policies debuggt, um die Internet-Konnektivität im Tunnel wiederherzustellen.
DNS überprüfen
DNS-Probleme sind eine der häufigsten Ursachen dafür, dass Benutzer „kein Internet“ im VPN-Tunnel haben. Häufig kann der Client interne Hosts auflösen, aber externe Domains nicht.
Prüfungen
- Verwendung der richtigen DNS-Server für interne und externe Auflösung
- Split DNS richtig konfiguriert für interne Ressourcen
- Clientseitiges Caching überprüfen
- Firewall-Regeln, die DNS blockieren, identifizieren
Beispiel CLI Prüfungen
nslookup google.com
ping google.com
dig vpn.company.local
ipconfig /flushdns (Windows)
systemd-resolve --flush-caches (Linux)
Routing prüfen
Fehlerhafte Routing-Tabellen verhindern den Zugriff auf das Internet trotz aktiver VPN-Verbindung. Besonders bei Split-Tunneling kann die Route für Default Gateway oder externe Netze fehlen.
Prüfungen
- Routen auf Client und VPN-Gateway überprüfen
- Default Gateway über Tunnel richtig gesetzt?
- Split-Tunnel-Policies korrekt angewendet?
- Traceroute nutzen, um den Pfad zu externen Ressourcen zu verfolgen
Beispiel CLI Prüfungen
route print (Windows)
ip route show (Linux)
traceroute 8.8.8.8
show route (Cisco ASA)
Split-Tunneling-Policies debuggen
Split-Tunneling ermöglicht die gleichzeitige Nutzung von VPN für interne Ressourcen und direktes Internet über das lokale Netzwerk. Fehlerhafte Policies führen zu „kein Internet“-Problemen.
Zu prüfende Punkte
- Welche Subnetze werden über den Tunnel geroutet?
- Externe Internet-Routen korrekt ausgeschlossen oder inkludiert?
- Firewall/ACL auf dem Gateway blockiert externe Ziele?
- Konflikte zwischen VPN-Client- und Gateway-Routing
Beispiel CLI Prüfungen Cisco ASA
show run group-policy
show run tunnel-group
show vpn-sessiondb detail
show access-list
NAT- und Firewall-Konfiguration prüfen
Fehlerhafte NAT- oder Firewall-Regeln verhindern die Weiterleitung des Internet-Traffics.
Prüfungen
- NAT für VPN-Pool korrekt eingerichtet?
- Port Address Translation (PAT) für Internetzugriff aktiv?
- Firewall erlaubt UDP/TCP Traffic aus dem Tunnel?
- Keine Overlapping IPs zwischen VPN und externem Netzwerk
Beispiel CLI
show nat
show xlate
show conn count
show access-list
Clientseitige Checks
Der Client selbst kann Ursache von Internetproblemen sein, z.B. durch lokale Firewall, Routing oder DNS-Caching.
Prüfungen
- VPN-Client Logs auf Fehler prüfen
- Firewall oder Security Software deaktivieren und testen
- Interface neu starten und IP prüfen
- Ping/Traceroute zu externen Zielen durchführen
Monitoring und Logging
Um Probleme systematisch zu erkennen, sollten Logs und Monitoring genutzt werden.
Empfohlene Metriken
- VPN-Session Aufbauzeiten und Tunnel Health
- Packet Loss und Jitter
- ACL Hits und NAT Übersetzungen
- DNS Query Times und Fehler
- Fehlgeschlagene Authentifizierungen oder Verbindungsabbrüche
Beispiel CLI Monitoring Cisco ASA
show vpn-sessiondb detail
show vpn-sessiondb summary
show conn count
show xlate count
show log | include "deny"
Subnetz- und IP-Planung
Eine saubere IP-Struktur erleichtert Debugging und Troubleshooting bei Remote Access.
Beispiel Subnetzplanung
Remote VPN Clients: 10.10.10.0/24
Corporate Resources: 10.20.0.0/24
Internet Traffic: NAT über 203.0.113.10/30
Management: 10.30.10.0/24
Subnetzberechnung
Beispiel: 200 gleichzeitige VPN-User
Best Practices Troubleshooting
- Systematisches Debugging: DNS → Routing → Split Policies → NAT/Firewall → Client
- Monitoring und Logging für Tunnel Health, Packet Loss und DNS verwenden
- Subnetzplanung und IP-Management sauber dokumentieren
- Alerting bei Tunnel-Fehlern oder DNS-Ausfällen
- Regelmäßige Tests von Remote Access Szenarien
- Dokumentation von Troubleshooting-Schritten
- Split-Tunnel Policies und NAT regelmäßig validieren
- Integration von VPN- und Firewall-Logs in SIEM-Systeme
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
