Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

VPN-problemen met Google Workspace oplossen via split tunneling

Een VPN stuurt al het verkeer via het bedrijfsnetwerk, wat Google Workspace vertraagt. Split tunneling laat Workspace-verkeer rechtstreeks naar Google gaan en verlaagt zo de latency.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 15 wkn open_in_new data_object

Het probleem: VPN als flessenhals voor Workspace

Een traditioneel VPN-model werkt als volgt: al het verkeer van de werknemer gaat via een tunnel naar het bedrijfsnetwerk en vandaaruit naar internet. Zo ziet de werknemer het internet alsof hij op kantoor zit.

Voor Google Workspace is dit suboptimaal. Een bericht in Gmail volgt dit pad: laptop thuis, VPN-tunnel, bedrijfsserver, internet, Google. Zonder VPN zou het pad korter zijn: laptop thuis, internet, Google. De omweg via het bedrijfsnetwerk voegt latency toe en maakt het VPN-apparaat een knelpunt.

Bij meer werknemers die gelijktijdig VPN gebruiken neemt de belasting op de VPN-concentrator toe. Google Meet laat dit het sterkst voelen, want het real-time karakter van video tolereert geen extra latency.

Wat is split tunneling

Split tunneling is een VPN-configuratie waarbij je per bestemming bepaalt welk verkeer via de VPN-tunnel loopt en welk verkeer rechtstreeks naar internet gaat.

Er zijn twee varianten:

  • Exclude-based split tunneling: alles via VPN, behalve de genoemde domeinen of IP-ranges. Dit is het veiligste model.
  • Include-based split tunneling: alleen specifiek bedrijfsverkeer via VPN, de rest gaat direct. Dit geeft de meeste vrijheid maar vermindert de VPN-bescherming voor niet-zakelijk verkeer.

Voor Google Workspace gebruik je exclude-based split tunneling: Google-verkeer verlaat de tunnel en gaat direct naar Google.

lightbulb

Kies exclude-based bij een zero-trust beleid

Exclude-based split tunneling is veiliger dan include-based voor organisaties met een zero-trust of beveiligingsgericht beleid. Al het onbekende verkeer blijft via de VPN lopen, alleen de Google-IP-ranges worden uitgesloten.

Split tunneling configureren

De exacte stappen verschillen per VPN-client. Hieronder de generieke aanpak.

Split tunneling instellen (generiek)

  1. Haal de actuele Google-IP-ranges op via https://www.gstatic.com/ipranges/goog.json. Gebruik het script hieronder om dit te automatiseren.
  2. Open de configuratie van je VPN-client of het VPN-profiel in de beheerserver (Cisco Secure Client/AnyConnect, GlobalProtect, OpenVPN of WireGuard).
  3. Zoek de split-tunneling- of split-exclude-instelling.
  4. Voeg de Google-IP-ranges toe als exclude. Gebruik zowel de IPv4- als de IPv6-prefixes uit de goog.json-feed.
  5. Sla op en verbind de VPN opnieuw.
  6. Test: open Gmail en controleer via toolbox.googleapps.com/apps/dig welk pad het verkeer neemt.

Script om de IP-ranges te extraheren:

curl -s https://www.gstatic.com/ipranges/goog.json | \
  python3 -c "import json,sys; d=json.load(sys.stdin); \
  print('
'.join(p.get('ipv4Prefix') or p.get('ipv6Prefix') for p in d['prefixes']))"

Dit script haalt alle IPv4- en IPv6-prefixes op en print ze regel voor regel. Gebruik de output als input voor je VPN-configuratie of firewall.

warning

De ranges veranderen, automatiseer het ophalen

Google publiceert de IP-ranges in goog.json en past ze regelmatig aan. Een handmatig overgenomen lijst raakt verouderd, waardoor sommig Google-verkeer alsnog via de tunnel gaat. Laat een geplande taak (bijvoorbeeld een cron-job) de feed periodiek ophalen en je VPN- of firewallregels bijwerken.

De juiste ranges kiezen: goog.json en cloud.json

Google publiceert twee feeds. goog.json bevat alle IP-ranges die Google beschikbaar maakt op internet, inclusief de ranges van Google Cloud-klanten. cloud.json bevat alleen de externe IP-ranges van Google Cloud-resources.

Wil je strikt alleen het verkeer naar Google-diensten als Gmail, Drive en Meet uitsluiten, en niet het verkeer naar Google Cloud-werklasten, trek dan de ranges uit cloud.json af van die uit goog.json. Voor de meeste Workspace-scenario's volstaat het om gewoon goog.json te gebruiken.

Alternatieven als split tunneling niet mogelijk is

In sommige omgevingen (compliance-eisen, strikt VPN-beleid) is split tunneling niet toegestaan. Dan zijn er twee alternatieven.

Upgrade de VPN-infrastructuur. Een VPN-concentrator met onvoldoende capaciteit voor het aantal gebruikers is een schaalprobleem, niet een Workspace-probleem. Vergroot de bandbreedte van de VPN-uplink of voeg concentratorcapaciteit toe.

Gebruik Workspace vanaf een apart netwerksegment. In een hybride setup kunnen werknemers Workspace via een apart VLAN benaderen dat niet via VPN loopt. De VPN-tunnel blijft dan voor interne bedrijfsapplicaties.

Testen na configuratie

Verifieer of de Meet-kwaliteit is verbeterd. Volgens de richtlijn van Google is de videokwaliteit het hoogst wanneer de round-trip-latency tussen client en Google onder de 100 ms blijft. Vanaf ongeveer 300 ms neemt de kwaliteit merkbaar af. Open tijdens een gesprek het menu Meer, ga naar Instellingen en bekijk daar de verbindingsstatistieken.

Controleer ook dat je thuisnetwerk-IP zichtbaar is in Gmail (Instellingen, Accountbeveiliging, Recente activiteit) en niet het VPN-IP. Zie je het VPN-IP voor Workspace-diensten, dan is de split-tunnel nog niet actief.

Is split tunneling minder veilig?

Exclude-based split tunneling voor bekende, vertrouwde diensten als Google Workspace is een gangbare en veilige praktijk. Het risico is dat verkeer buiten de VPN-tunnel niet meer door je bedrijfsfirewall geinspecteerd wordt. Google Workspace heeft echter zijn eigen beveiligingslagen zoals TLS, authenticatie en DLP. Weeg de inspectiewinst van de VPN af tegen de kwaliteitswinst van een directe verbinding.

Mijn VPN-client ondersteunt geen split tunneling, wat nu?

Controleer eerst of er een nieuwere versie beschikbaar is. De meeste moderne VPN-clients zoals Cisco Secure Client, GlobalProtect en WireGuard ondersteunen split tunneling. Ondersteunt de client het echt niet, overweeg dan een upgrade of een overstap naar een oplossing die het wel kan.

Welke latency mag ik verwachten voor goede Meet-kwaliteit?

Google geeft aan dat de videokwaliteit het hoogst is bij een round-trip-latency onder de 100 ms. Vanaf circa 300 ms gaat de kwaliteit merkbaar achteruit. Split tunneling helpt door de omweg via het bedrijfsnetwerk te schrappen.

Gelden de Google-IP-ranges ook voor Google Cloud-diensten?

De goog.json-feed bevat alle Google-IP-ranges, inclusief die van Google Cloud-klanten. Wil je Cloud-verkeer juist wel via de VPN laten lopen, trek dan de ranges uit cloud.json af van die uit goog.json en sluit alleen het resultaat uit.

Hoe vaak moet ik de IP-ranges bijwerken?

Google past de ranges regelmatig aan. Een geplande taak die de feed periodiek (bijvoorbeeld dagelijks of wekelijks) ophaalt en je regels bijwerkt voorkomt dat een verouderde lijst sommig verkeer alsnog door de tunnel stuurt.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Google Workspace-apps zijn traag: netwerkoptimalisatie

Trage laadtijden in Gmail, Drive of Meet liggen zelden aan Google: de oorzaak zit bijna altijd in het lokale netwerk (bandbreedte, latency, DNS of proxy). Zo diagnosticeer en verhelp je het stap voor stap.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

Google-diensten worden geblokkeerd door een firewall

Gmail, Meet en Drive werken thuis wel maar op kantoor niet? Bijna altijd blokkeert een firewall, proxy of SSL-inspectie de Google-domeinen. Lees welke domeinen, IP-ranges en poorten je moet vrijgeven.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Gratis opties binnen het Google Workspace-ecosysteem

Een helder overzicht van de gratis opties binnen het Google-ecosysteem: wat je krijgt met een gratis Google-account, waar de grenzen liggen en wanneer een betaald Workspace-abonnement de moeite waard is.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Google Meet API gebruiken voor programmatisch beheer

Beheer Meet-vergaderingen via de API: ruimtes aanmaken, leden instellen, conferentiedata ophalen en deelname-informatie analyseren.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Hybride werken inrichten met Google Workspace

Zo richt je hybride werken in met Google Workspace: cloud-first bestanden, gelijkwaardige Meet-vergaderingen, werklocatie in de agenda, apparaatbeheer en heldere afspraken.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward