Warum Microsoft Split-Tunneling bei VPNs vorschreibt

Wenn Remote-Mitarbeiter an einem Teams-Anruf teilnehmen, benötigen sie eine direkte Verbindung mit geringer Latenz zur Microsoft 365 Cloud. Aber was passiert, wenn ihre gesamte Internetverbindung, vom einfachen Webbrowsing bis zum Videostreaming, zuerst durch das VPN-Gateway des Unternehmens geleitet wird? Das Ergebnis ist oft frustrierend: abgehackte Sprache, unterbrochene Bilder und erhebliche Verzögerungen. Dabei geht es nicht nur um die Bandbreite, sondern auch um die Round-Trip Time (RTT). Wenn Sie den Teams-Medienverkehr in ein VPN mit vollem Tunnel zwingen, fügen Sie zusätzliche Sprünge, Verschlüsselungsebenen und unnötige Überlastungen hinzu. Die ständigen Leistungsprobleme der Benutzer bleiben oft unentdeckt, da IT-Teams lokale Geräte und Heimnetzwerke überprüfen und dabei den wahren Schuldigen übersehen: Das Unternehmens-VPN leitet den gesamten Datenverkehr und Split Tunneling ist nicht aktiviert.

Ein virtuelles privates Netzwerk (VPN) sichert den Fernzugriff, indem es die IP-Adresse des Benutzers maskiert und alle Daten durch einen sicheren, verschlüsselten Tunnel zum Unternehmensnetzwerk leitet, um Sicherheit und Compliance zu gewährleisten.

VPNs sind zwar für die Sicherheit unverzichtbar, können jedoch Latenzzeiten, potenzielle Bandbreitenbeschränkungen und komplexe Routingverfahren mit sich bringen, die für Echtzeitkommunikation wie Teams nachteilig sind. Tatsächlich ist Microsoft Teams so optimiert, dass es am besten funktioniert, wenn der Medienverkehr (Audio/Video) direkt zwischen den Clients oder über die Cloud-Infrastruktur von Microsoft läuft.

Das Routing der Mediendaten von Teams über VPNs führt häufig zu einem Phänomen, das als „Georouting-Ineffizienz“ bezeichnet wird. Dabei verlassen die Daten eines Benutzers das Unternehmensnetzwerk in einer völlig anderen geografischen Region oder sogar auf einem anderen Kontinent als dem, in dem sich der Benutzer physisch befindet.
Zum Beispiel: Benutzerin „Ann“ in Boston, USA, hat ihr VPN aktiviert. Da der gesamte Datenverkehr durch den Tunnel geleitet wird, könnte Anns Medienverkehr zum VPN-Austrittspunkt des Unternehmens in Wien, Österreich, geleitet werden und in das Microsoft-Netzwerk in der Nähe von Wien gelangen. Dadurch muss ihr Datenverkehr unnötigerweise den Ozean überqueren, was die Latenzzeit erheblich erhöht, anstatt sich direkt mit dem globalen Netzwerk-Backbone von Microsoft in der Nähe von Boston zu verbinden.

Microsoft empfiehlt dringend, dass Administratoren Folgendes implementieren Geteiltes Tunneling zu implementieren, wenn ein Virtual Private Network (VPN) in Verbindung mit Microsoft Teams verwendet wird. Split Tunneling ist in der Tat unerlässlich, um eine optimale Leistung, Zuverlässigkeit und Anrufqualität für die Echtzeit-Kommunikationsfunktionen von Teams zu gewährleisten, insbesondere für hybride und entfernte Benutzer.

Sehen wir uns an, warum das so ist:
Split Tunneling ist eine fortschrittliche Netzwerkfunktion, die eine genaue Kontrolle darüber ermöglicht, welche Daten welche Route nutzen. Mit dieser Funktion können Administratoren den Microsoft Teams-Medienstromverkehr so konfigurieren, dass er den VPN-Tunnel vollständig umgeht und direkt mit dem Internet verbunden wird. Dies ist die empfohlene Vorgehensweise aus zwei entscheidenden Gründen:

Bildquelle: Microsoft

Diese Praxis ist für die Daten von Teams sicher, da der Datenverkehr bereits auf der Anwendungsebene gesichert ist, d.h. er ist für seinen Kernschutz nicht auf das VPN angewiesen. Der Sicherheitszweck des VPN bleibt ebenfalls erhalten, da der Zugriff auf das interne Unternehmensnetzwerk und seine sensiblen Ressourcen (wie Dateiserver oder interne Anwendungen) unverändert bleibt. Nur der bereits verschlüsselte Teams-Datenverkehr mit hoher Bandbreite wird abgetrennt, während alle anderen Verbindungen durch das VPN geschützt bleiben.

Die Implementierung von Split-Tunneling für Microsoft Teams ist eine strategische Notwendigkeit, keine einfache Einstellung. Der Erfolg erfordert eine sorgfältige Planung und Koordination zwischen IT- und Sicherheitsteams. Ein durchdachter Ansatz ist entscheidend, um Schwachstellen oder betriebliche Probleme zu vermeiden.
Nachfolgend finden Sie einige hilfreiche Ressourcen zur Implementierung:

Letztendlich ist Split Tunneling die entscheidende Konfiguration, die den inhärenten Konflikt zwischen VPN-Sicherheit und den Leistungsanforderungen von Microsoft Teams auflöst. Indem Unternehmen strategisch zulassen, dass der Teams-Medienverkehr den Unternehmenstunnel umgeht und sich direkt mit dem Internet verbindet, vermeiden sie die Nachteile einer doppelten Verschlüsselung, übermäßiger Latenz und Bandbreitenengpässen. Dieser Ansatz gewährleistet ein zuverlässiges, qualitativ hochwertiges Erlebnis für Benutzer, die in Echtzeit kommunizieren, während die Rolle des VPNs beim Schutz aller anderen geschützten Unternehmensdaten erhalten bleibt. Dies entspricht direkt den Empfehlungen von Microsoft zur Optimierung moderner Collaboration-Umgebungen.

Mit TrueDEM helfen wir Unternehmen, Probleme mit der Anrufqualität von Teams und M365 zu erkennen. Falsches VPN-Routing ist eines der vielen Insights, die wir aufspüren, damit wir unseren Kunden helfen können, Probleme in ihrer Teams-Umgebung und -Einrichtung zu erkennen. Wenn Sie mehr darüber erfahren möchten, was TrueDEM für Sie tun kann, dann zögern Sie nicht und kontaktieren Sie uns noch heute.