Wie man VPN-DNS- und Routing-Probleme unter Windows behebt
Manchmal verhalten sich VPNs unter Windows, als ob sie ein Eigenleben führen würden. Die Verbindung wird zwar hergestellt, aber die DNS-Auflösung funktioniert nicht richtig oder der Datenverkehr wird nicht wie erwartet geleitet. Möglicherweise können lokale Netzwerkgeräte keine Namen auflösen oder der Internetzugang ist instabil. Das Ganze kann ziemlich verwirrend sein, insbesondere weil Windows viele automatische Einstellungen hat, die Probleme verursachen können – wie Metriken, Split-Tunnel-Konfigurationen oder DNS-Leak-Einstellungen. Dieser Leitfaden erklärt einige der häufigsten Ursachen und wie man sie behebt, damit Ihr VPN wieder wie gewünscht funktioniert. Sie erfahren, ob die Standardeinstellungen von Windows tatsächlich Probleme verursachen und wie Sie diese (mit Befehlen und GUI-Optionen) anpassen können, damit Ihr VPN genau das nutzt, was Sie benötigen, und den Datenverkehr korrekt leitet.
So beheben Sie VPN-DNS- und Routing-Probleme unter Windows
Was ist der Unterschied zwischen dem Force-Tunnel- und dem Split-Tunnel-Modus?
Der erzwungene Tunnelmodus (bei dem in den VPN-Einstellungen „Standardgateway im Remote-Netzwerk verwenden“ aktiviert ist) ist sehr verbreitet. Er eignet sich hervorragend für den gesamten Datenverkehr über das VPN, kann aber die lokale Namensauflösung beeinträchtigen. Windows sendet alle DNS-Anfragen an die DNS-Server des VPNs, was zu Fehlern führen kann, wenn diese nicht für die Auflösung von LAN-Gerätenamen konfiguriert sind oder Ihr lokales Netzwerk eine andere Namensauflösung benötigt. Der Split-Tunnel-Modus (bei dem „Standardgateway im Remote-Netzwerk verwenden“ deaktiviert ist) sorgt dafür, dass Ihr lokales Netzwerk wie gewohnt funktioniert und leitet nur bestimmten Datenverkehr über das VPN. Das ist weniger aufdringlich, erfordert aber, dass Sie wissen, welche DNS-Server für die Namensauflösung verwendet werden, insbesondere wenn Ihre DNS-Anfragen über das VPN laufen sollen.
Warum die Kennzahlen von Schnittstellen wichtig sind und wie man sie anpasst
Windows sendet DNS-Anfragen über die Netzwerkschnittstelle mit der *niedrigsten* Metrik (der „Priorität“).Wenn Ihre Ethernet-Verbindung beispielsweise eine Metrik von 25 und die VPN-Metrik 100 hat, werden DNS-Anfragen standardmäßig über Ethernet und nicht über VPN gesendet. Dies ist ungünstig, wenn Sie DNS über VPN nutzen möchten. Durch Ändern der Metrik kann die DNS-Auflösung über VPN erzwungen werden. Um dies zu überprüfen, führen Sie folgenden Befehl in PowerShell aus: `powershell Get-NetIPInterface | Sort-Object Interfacemetric`.Dadurch werden alle Netzwerkschnittstellen nach ihrer Metrik sortiert angezeigt. Ist die Metrik Ihrer Ethernet-Verbindung niedriger, erfolgt die DNS-Auflösung lokal und nicht über VPN. Um die Metrik *manuell* zu ändern, öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus: `powershell Set-NetIPInterface -InterfaceIndex`.
Wie man bestimmten Datenverkehr umleitet oder VPN-Einstellungen ändert
Wenn die DNS-Auflösung über die DNS-Server des VPNs anstatt über das lokale Netzwerk erfolgen soll, müssen Sie die VPN-Verbindungseigenschaften anpassen oder PowerShell verwenden: `powershell Set-VpnConnection -Name „VPN_work“ -SplitTunneling $True Set-VpnConnection -Name „VPN_work“ -DnsSuffix „yourdomainname.com“`.Dadurch wird die intelligente Namensauflösung mit mehreren Netzwerkschnittstellen (SMHNR) deaktiviert, die standardmäßig aktiviert ist und DNS-Anfragen außerhalb des VPNs durchsickern lassen kann – was problematisch ist, wenn Datenschutz wichtig ist. So deaktivieren Sie SMHNR per Gruppenrichtlinie (nur anwendbar, wenn Sie die Berechtigung zum Ändern von Richtlinien haben): – Öffnen Sie gpedit.msc – Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > DNS-Client – Aktivieren Sie Intelligente Namensauflösung für mehrere DNS-Server deaktivieren Alternativ können Sie die Einstellung direkt in der Registrierung vornehmen: PowerShell Set-ItemProperty -Path „HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient“ -Name „DisableSmartNameResolution“ -Value 1 -Type DWord Set-ItemProperty -Path „HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters“ -Name „DisableParallelAandAAAA“ -Value 1 -Type DWord —
Hinzufügen statischer Routen für bestimmte Subnetze über VPN
Sollen bestimmte Subnetze immer über das VPN laufen? So geht’s: PowerShell: `Add-VpnConnectionRoute -ConnectionName „VPN_work“ -DestinationPrefix 172.16.15.0/24` und `Add-VpnConnectionRoute -ConnectionName „VPN_work“ -DestinationPrefix 10.2.1.0/24`.Dasselbe gilt für OpenVPN: Routen und DNS-Server können Sie mit folgenden Befehlen hinzufügen: `push „route 10.2.2.0 255.255.255.0″` und `push „dhcp-option DNS 192.168.115.11″`.Stellen Sie sicher, dass Ihr Server diese Anweisungen unterstützt.
Wie man sicherstellt, dass DNS-Anfragen über ein VPN anstatt über das lokale Netzwerk geleitet werden.
In manchen Konfigurationen sendet Windows DNS-Anfragen standardmäßig über die Schnittstelle mit der niedrigeren Metrik. Um VPN-DNS zu priorisieren, erhöhen Sie die Metrik der Ethernet-Schnittstelle (wie bereits erwähnt) oder passen Sie die Metrik der VPN-Netzwerkschnittstelle so an, dass sie niedriger ist als die Ihrer LAN-Schnittstelle. Beachten Sie außerdem die SMHNR-Funktion. Sie kann dazu führen, dass DNS-Anfragen außerhalb des verschlüsselten Tunnels gesendet werden. Durch Deaktivieren dieser Funktion per Gruppenrichtlinie oder Registry können Sie Datenlecks verhindern, insbesondere wenn Datenschutz wichtig ist.
Zusammenfassung
- Kennen Sie den Unterschied zwischen Force Tunnel und Split Tunnel – sie beeinflussen DNS und Routing erheblich.
- Überprüfen Sie die Schnittstellenmetriken mit
Get-NetIPInterface— DNS-Anfragen werden in der Regel über die Schnittstelle mit den niedrigsten Metriken gesendet. - Passen Sie die Schnittstellenmetriken entweder über die grafische Benutzeroberfläche oder PowerShell an, um den VPN-DNS-Verkehr zu priorisieren.
- Verwalten Sie VPN-Routen und DNS-Einstellungen direkt in PowerShell oder über die Verbindungseigenschaften, um Lecks oder Namensauflösungsprobleme zu vermeiden.
- Deaktivieren Sie „Intelligente Namensauflösung mit mehreren Hosts“, wenn Sie Bedenken hinsichtlich DNS-Leaks oder Auflösungsproblemen haben.
Zusammenfassung
Die Einrichtung von VPN-DNS und -Routing unter Windows kann sich als knifflig erweisen, insbesondere da die Standardeinstellungen nicht immer optimal sind. Experimentieren Sie mit den Schnittstellenmetriken, deaktivieren Sie SMHNR gegebenenfalls und richten Sie statische Routen für problematische Subnetze ein. Es erfordert viel Ausprobieren, aber sobald alles korrekt konfiguriert ist, verhält sich das VPN deutlich zuverlässiger. Hoffentlich hilft dies jemandem, die Verwirrung zu beseitigen.