Split DNS ist ein essenzielles Konzept für Remote-Access-Infrastrukturen, insbesondere wenn interne Ressourcen sicher für externe Benutzer bereitgestellt werden müssen. Durch eine saubere Trennung der Namensauflösung zwischen internem und externem DNS lassen sich Sicherheitsrisiken minimieren und Zugriffszeiten optimieren.
Was ist Split DNS?
Split DNS, auch als Dual-Homing-DNS bezeichnet, trennt die Namensauflösung für interne und externe Clients. Während externe Benutzer über das öffentliche DNS auf Ressourcen zugreifen, verwenden interne Benutzer private DNS-Server, die interne IP-Adressen zurückgeben.
Beispielhafte Szenarien
- Externe Clients greifen auf
vpn.company.comüber öffentliche IPs zu. - Interne Clients greifen auf denselben Host über private IPs zu, z. B.
10.10.10.5. - Remote Access Clients erhalten je nach Tunnelstatus unterschiedliche DNS-Antworten.
Vorteile von Split DNS
- Verhindert unnötige Exposition interner IP-Adressen im öffentlichen DNS.
- Reduziert unnötigen Traffic über VPN-Tunnel, da interne Hosts direkt erreichbar sind.
- Erhöht Sicherheit, da interne Namensauflösungen nur über vertrauenswürdige DNS-Server erfolgen.
- Ermöglicht konsistente Hostnamen sowohl intern als auch extern.
Designprinzipien für Remote Access
Trennung von Intern und Extern
Interne DNS-Server sollten ausschließlich private Namensräume verwalten, z. B. corp.local. Externe DNS-Server liefern nur öffentliche Einträge, z. B. www.company.com.
DNS Forwarding und Conditional Forwarders
Für VPN-Clients empfiehlt sich die Nutzung von Conditional Forwarders, um Anfragen gezielt an interne DNS-Server weiterzuleiten:
zone "corp.local" {
type forward;
forward only;
forwarders { 10.10.10.1; };
};
Split-Brain vermeiden
Split-Brain tritt auf, wenn interne und externe DNS-Einträge für denselben FQDN unterschiedlich konfiguriert sind und zu Inkonsistenzen führen. Lösung:
- Klare Trennung von Namensräumen
- Synchronisation von Einträgen, die intern und extern identisch sein müssen
- Verwendung von DNS-Views (BIND) oder DNS-Policies (Windows Server)
DNS-Server für Remote Access konfigurieren
VPN-Server DNS-Optionen
VPN-Server sollten Remote Clients automatisch interne DNS-Server zuweisen, sobald der Tunnel aktiv ist:
dhcp-option DNS 10.10.10.1
dhcp-option DOMAIN corp.local
Clients leiten interne Namensauflösungen direkt an den internen DNS weiter, öffentliche Anfragen gehen über das Standard-Gateway.
DHCP vs. statische Zuweisung
- DHCP: Dynamische Verteilung von DNS-Servern für Remote Clients
- Statisch: Feste Zuweisung auf Client-Geräten in kontrollierten Szenarien
Absicherung und Monitoring
Firewall-Regeln
Nur VPN-Traffic darf auf interne DNS-Server zugreifen:
access-list 101 permit udp 10.0.0.0 0.255.255.255 any eq 53
access-list 101 deny ip any any
Logging und Monitoring
- DNS-Abfragen von Remote Clients überwachen
- Ungewöhnliche oder fehlerhafte Abfragen analysieren
- Regelmäßige Audits der DNS-Zonen zur Konsistenz sicherstellen
Fehlerbehebung
Typische Probleme
- Remote Clients erhalten keine interne Auflösung → VPN-Zuweisung prüfen
- Split-Brain führt zu falschen IPs → DNS-Views oder Conditional Forwarders überprüfen
- DNS-Caching verursacht alte IP-Adressen → Cache leeren oder TTL anpassen
CLI-Beispiele
# Prüfen der DNS-Auflösung über den Tunnel
nslookup host.corp.local 10.10.10.1
BIND Forwarder prüfen
rndc querylog
Best Practices
- Klare Namensräume für interne vs. externe Hosts definieren
- Remote Clients automatisch interne DNS zuweisen
- Split-Brain vermeiden durch Konsistenz-Management
- Monitoring und Logging aktivieren
- MTU und Fragmentierung im VPN berücksichtigen, falls DNS über UDP fehlschlägt
Zusammenfassung
Ein sauber konzipiertes Split DNS erleichtert Remote Access, verbessert Sicherheit und sorgt für konsistente Namensauflösung. Durch Conditional Forwarders, VPN-DNS-Zuweisung und Monitoring lassen sich typische Fehlerquellen vermeiden und die User Experience optimieren.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
