Split horizon DNS: verschillende antwoorden voor intern en extern verkeer

Split horizon DNS (ook wel split-brain DNS) geeft verschillende DNS-antwoorden afhankelijk van waar de aanvraag vandaan komt. Interne gebruikers krijgen bijvoorbeeld een intern IP-adres voor een server, terwijl externe gebruikers het publieke adres krijgen. In dit artikel leest u hoe split horizon werkt en waar u op moet letten.

Probleem

Interne gebruikers kunnen een server of dienst niet of traag bereiken omdat ze via het publieke IP-adres worden geleid in plaats van rechtstreeks via het interne netwerk. Of andersom: externe gebruikers krijgen een intern adres dat buiten het netwerk onbereikbaar is.

Oorzaak

In veel netwerken draait een server zowel intern als extern bereikbaar. Zonder split horizon krijgt iedereen hetzelfde (publieke) IP-adres, waardoor intern verkeer onnodig via de buitenkant van het netwerk loopt.

Split horizon lost dit op door twee DNS-views te configureren: een interne view die intern IP teruggeeft en een externe view die het publieke IP teruggeeft, voor dezelfde naam.

Problemen ontstaan wanneer de twee views uit elkaar lopen, bijvoorbeeld als een record alleen in de externe view wordt bijgewerkt en niet in de interne, waardoor interne gebruikers een verouderd adres krijgen.

Oplossing

Configureer op uw DNS-server twee views: een voor interne netwerken en een voor extern verkeer, gebaseerd op de bron van de aanvraag.

Geef in de interne view interne IP-adressen terug en in de externe view de publieke adressen voor dezelfde namen.

Houd beide views synchroon bij wijzigingen om inconsistenties te voorkomen.

Stappenplan

1. Inventariseer welke namen zowel intern als extern bereikbaar moeten zijn.
2. Bepaal het interne en het publieke IP-adres per naam.
3. Configureer op de DNS-server een interne en een externe view.
4. Koppel de interne view aan de interne netwerkranges.
5. Plaats per naam het juiste IP-adres in elke view.
6. Test vanaf zowel een intern als een extern netwerk.
7. Documenteer de records in beide views.
8. Werk bij wijzigingen altijd beide views bij.

Voorbeeld split horizon

Bij split horizon krijgt dezelfde naam een ander IP-adres afhankelijk van de view. Onderstaand voorbeeld illustreert dit.

Voorbeeld:

Interne view:
  server.uwdomein.nl  ->  10.0.0.20

Externe view:
  server.uwdomein.nl  ->  203.0.113.20

Toepassingen en risico’s van split horizon

Split horizon wordt vooral gebruikt in bedrijfsnetwerken waar dezelfde diensten zowel binnen als buiten het netwerk beschikbaar zijn. Intern verkeer blijft zo op het lokale netwerk, wat sneller en veiliger is dan een omweg via internet.

Het belangrijkste risico is beheercomplexiteit. Omdat dezelfde naam in twee views wordt bijgehouden, moet elke wijziging op twee plekken gebeuren. Vergeet u er een, dan ontstaan moeilijk te traceren problemen die slechts voor een deel van de gebruikers optreden.

Voor kleinere omgevingen is split horizon vaak overbodig. Het is een geavanceerde techniek die u alleen inzet wanneer interne en externe routing echt van elkaar moeten verschillen.

• Intern verkeer blijft op het lokale netwerk
• Beheer vereist twee synchrone views
• Vooral relevant in grotere bedrijfsnetwerken

Veelgemaakte fouten

• Een record in slechts één view bijwerken, waardoor de views uit elkaar lopen.
• De interne view aan de verkeerde netwerkranges koppelen.
• Split horizon inzetten waar het niet nodig is en zo onnodige complexiteit creëren.
• Geen documentatie bijhouden van beide views.
• Alleen vanaf één netwerk testen.
• Vergeten dat certificaten en applicaties met beide adressen overweg moeten kunnen.

Controle na afloop

1. Test de naamresolutie vanaf een intern netwerk.
2. Test dezelfde naam vanaf een extern netwerk.
3. Controleer dat beide views het juiste IP-adres teruggeven.
4. Controleer na een wijziging of beide views zijn bijgewerkt.

Praktische tips

• Zet split horizon alleen in wanneer interne en externe routing echt moeten verschillen.
• Documenteer beide views zorgvuldig.
• Werk wijzigingen altijd in beide views tegelijk door.
• Test consequent vanaf zowel binnen als buiten het netwerk.

Veelgestelde vragen

Wanneer heb ik split horizon DNS nodig?

Wanneer dezelfde naam intern en extern naar verschillende IP-adressen moet wijzen, bijvoorbeeld om intern verkeer op het lokale netwerk te houden. Voor kleinere omgevingen is het vaak overbodig.

Wat is het grootste risico van split horizon?

Inconsistentie tussen de twee views. Een wijziging in slechts één view leidt tot problemen die maar een deel van de gebruikers treffen.

Werkt split horizon met publieke DNS-providers?

Sommige geavanceerde DNS-diensten ondersteunen views of vergelijkbare functionaliteit, maar split horizon wordt vaak op zelfbeheerde DNS-servers geconfigureerd.

Samenvatting

Split horizon DNS geeft verschillende antwoorden voor interne en externe aanvragen, zodat intern verkeer op het lokale netwerk blijft. U configureert twee views met per naam het juiste IP-adres. De belangrijkste valkuil is inconsistentie: werk altijd beide views bij. Zet de techniek alleen in wanneer interne en externe routing echt moeten verschillen.

Gerelateerde artikelen

• A-record instellen: een domein naar een IP-adres wijzen
• NS-records begrijpen en wijzigen: de nameservers van uw domein
• NXDOMAIN-fout oplossen: domein of subdomein bestaat niet

Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.