VPN-Split-Tunneling
Was ist VPN-Split-Tunneling?
VPN-Split-TunnelingVPN-Konfiguration, die nur ausgewahlten Datenverkehr (z. B. Unternehmens-Subnetze) durch den verschlusselten Tunnel leitet und den Rest direkt ins Internet schickt.
Split Tunneling wird in VPN-Clients (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, ZTNA-Agents) so eingestellt, dass nur bestimmte Ziele, typischerweise interne IP-Bereiche, DNS-Suffixe oder Anwendungen, den verschlusselten Tunnel nutzen. Der Rest geht uber den lokalen Internet-Uplink. Vorteile: geringere Last am VPN-Konzentrator, niedrigere Latenz fur SaaS, kein doppeltes NAT zu Cloud-Diensten. Nachteile: Das Endgerat ist gleichzeitig im Trust-Netz und im offenen Internet, was die Sicherheitsgrenze schwacht, DLP und Inspektion erschwert und DNS-Lecks uber den lokalen Resolver verursachen kann. Moderne Designs kompensieren mit Full Tunnel fur gemanagte Gerate, ZTNA-Richtlinien pro Anwendung, sicherem DNS zum Unternehmensresolver und EDR auf jedem Endpoint.
● Beispiele
- 01
Ein WireGuard-Client leitet nur 10.0.0.0/8 durch den Firmentunnel und sendet Zoom-Traffic direkt ins Internet.
- 02
Die Microsoft-365-Split-Tunnel-Empfehlung schliesst optimierte Exchange-, SharePoint- und Teams-Endpunkte vom Firmen-VPN aus.
● Häufige Fragen
Was ist VPN-Split-Tunneling?
VPN-Konfiguration, die nur ausgewahlten Datenverkehr (z. B. Unternehmens-Subnetze) durch den verschlusselten Tunnel leitet und den Rest direkt ins Internet schickt. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet VPN-Split-Tunneling?
VPN-Konfiguration, die nur ausgewahlten Datenverkehr (z. B. Unternehmens-Subnetze) durch den verschlusselten Tunnel leitet und den Rest direkt ins Internet schickt.
Wie funktioniert VPN-Split-Tunneling?
Split Tunneling wird in VPN-Clients (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, ZTNA-Agents) so eingestellt, dass nur bestimmte Ziele, typischerweise interne IP-Bereiche, DNS-Suffixe oder Anwendungen, den verschlusselten Tunnel nutzen. Der Rest geht uber den lokalen Internet-Uplink. Vorteile: geringere Last am VPN-Konzentrator, niedrigere Latenz fur SaaS, kein doppeltes NAT zu Cloud-Diensten. Nachteile: Das Endgerat ist gleichzeitig im Trust-Netz und im offenen Internet, was die Sicherheitsgrenze schwacht, DLP und Inspektion erschwert und DNS-Lecks uber den lokalen Resolver verursachen kann. Moderne Designs kompensieren mit Full Tunnel fur gemanagte Gerate, ZTNA-Richtlinien pro Anwendung, sicherem DNS zum Unternehmensresolver und EDR auf jedem Endpoint.
Wie schützt man sich gegen VPN-Split-Tunneling?
Schutzmaßnahmen gegen VPN-Split-Tunneling kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für VPN-Split-Tunneling?
Übliche alternative Bezeichnungen: Split Tunnel, Selektives VPN-Routing.
● Verwandte Begriffe
- network-security№ 1213
VPN-Kill-Switch
Schutzmechanismus, der den gesamten Netzwerkverkehr des Hosts blockiert, sobald der VPN-Tunnel abbricht, um unverschlusselte Leaks zu verhindern.
- network-security№ 042
Always-On VPN
Gerateweite Richtlinie, die den VPN-Tunnel automatisch aufbaut, sobald ein Netzwerk verfugbar ist, und ungetunnelten Verkehr verweigert; durchgesetzt von Windows-, Apple- und Android-Profilen.
- privacy№ 339
DNS-Leak
Datenschutz-Schwachstelle, bei der DNS-Anfragen am VPN- oder Tor-Tunnel vorbei im Klartext an den ISP oder den Standardresolver gehen.
- network-security№ 556
IPsec
Eine IETF-Protokollsuite, die IP-Pakete authentisiert und verschlüsselt und damit sichere Kommunikation auf der Netzwerkschicht ermöglicht.
- network-security№ 1244
WireGuard
Ein modernes, minimalistisches VPN-Protokoll mit fest definierten zeitgemäßen Krypto-Primitiven, das als Teil des Linux-Kernels läuft.