MTU in IPv6: Fragmentation Header, PMTUD und Blackholes

MTU in IPv6 ist eine der häufigsten versteckten Fehlerquellen in modernen Netzwerken – gerade weil IPv6 viele „alte“ IPv4-Gewohnheiten nicht mehr erlaubt. Wenn die Path MTU nicht passt, entstehen Blackholes, die sich für Anwender wie Zufall anfühlen: kleine Requests funktionieren, große Uploads hängen; TLS-Handshakes brechen sporadisch ab; VPNs und Overlays verhalten sich inkonsistent; oder Dual-Stack-Clients wechseln dank Happy Eyeballs plötzlich auf IPv4. Die Ursache liegt oft nicht im „Routing“, sondern in der Kombination aus Paketgröße, Fragmentation Header, PMTUD und gefiltertem ICMPv6. In IPv6 dürfen Router unterwegs nicht fragmentieren – Fragmentierung ist Aufgabe des Senders. Das macht PMTUD (Path MTU Discovery) zwingend, und genau hier entstehen die klassischen IPv6-PMTUD-Blackholes: ICMPv6 „Packet Too Big“ wird gedroppt, die MTU bleibt zu groß, der Sender sendet weiter große Pakete, und der Pfad verwirft sie still. Dieses Troubleshooting ist gleichzeitig technisch und organisatorisch: Es betrifft Firewall-Regeln, Security-Policies, Tunnel-Designs, Host-Stack-Verhalten, Load Balancer, Proxy-Ketten und Monitoring. Dieser Artikel erklärt MTU in IPv6 praxisnah: wie Fragmentation Header funktionieren, wie PMTUD in IPv6 wirklich arbeitet, woran Sie Blackholes sicher erkennen und wie Sie sie nachhaltig beheben – ohne „ICMP einfach komplett erlauben“ oder wahlloses MTU-Raten.

IPv6 und MTU: Die Regel, die alles verändert

Der zentrale Unterschied zu IPv4 lautet: IPv6-Router fragmentieren nicht. Wenn ein Paket zu groß für den nächsten Hop ist, wird es verworfen und der Router sendet (idealerweise) ein ICMPv6 „Packet Too Big“ an den Sender. Der Sender muss daraufhin seine Paketgröße reduzieren. Diese Designentscheidung ist in der IPv6-Spezifikation verankert und sorgt für klare Zuständigkeiten, aber auch für neue Fehlerbilder. Hintergrund: RFC 8200 (IPv6).

• Minimum Link MTU: IPv6 verlangt mindestens 1280 Bytes MTU auf jedem Link. Das ist ein harter Mindestwert, aber nicht automatisch Ihr „funktionierender“ End-to-End-Wert.
• Keine Fragmentierung im Transit: Nur Endhosts fragmentieren (über Fragmentation Header). Router dürfen nicht „helfen“ wie in IPv4.
• ICMPv6 ist funktional: Ohne ICMPv6 „Packet Too Big“ kann PMTUD scheitern.

Fragmentation Header: Was wirklich passiert, wenn IPv6 fragmentiert

Wenn ein IPv6-Endhost fragmentieren muss, fügt er einen Fragmentation Header ein. Damit wird das Paket in mehrere Fragmente zerlegt, die beim Ziel wieder zusammengesetzt werden. Wichtig: Fragmentierung ist in IPv6 bewusst selten und meist ein Notfallmechanismus – nicht der Normalbetrieb.

Warum Fragmentierung in IPv6 problematisch sein kann

• Performance und Overhead: Fragmentierung erhöht Header-Overhead, erhöht Paketanzahl und kann CPU belasten (Reassembly am Ziel).
• Loss-Empfindlichkeit: Geht ein Fragment verloren, ist oft das gesamte Originalpaket nutzlos.
• Security- und Middlebox-Effekte: Manche Firewalls und Geräte behandeln Fragmentation Header restriktiv, was wiederum neue Drops erzeugen kann.
• PMTUD ist der bessere Weg: Ziel ist, Fragmentierung zu vermeiden, indem die Path MTU korrekt ermittelt und genutzt wird.

Details zur Fragmentierung und zum Fragmentation Header finden Sie in RFC 8200 (Kapitel zu Extension Headers) und ergänzend im Kontext von PMTUD in RFC 8201 (Path MTU Discovery for IPv6).

PMTUD in IPv6: Wie der Mechanismus wirklich funktioniert

PMTUD in IPv6 (IPv6 Path MTU Discovery) basiert darauf, dass ein Router, der ein zu großes Paket sieht, es verwirft und dem Sender eine ICMPv6-Meldung „Packet Too Big“ sendet. Diese Meldung enthält die zulässige MTU des nächsten Hops. Der Sender passt anschließend die Paketgröße an. Das ist elegant – solange diese ICMPv6-Meldungen zuverlässig ankommen.

• Trigger: Paket ist größer als die MTU des nächsten Hops.
• Reaktion des Routers: Drop + ICMPv6 PTB (Packet Too Big) an den Sender.
• Reaktion des Senders: Reduktion der effektiven MTU/MSS und erneutes Senden in passender Größe.

Der Standard ist klar beschrieben in RFC 8201. Der entscheidende Punkt für Troubleshooting: PMTUD ist nicht „optional“ und nicht „nice to have“. Wenn PMTUD scheitert, entstehen Blackholes.

PMTUD-Blackholes: Warum IPv6-Verbindungen „still“ sterben

Ein PMTUD-Blackhole entsteht, wenn ICMPv6 „Packet Too Big“ auf dem Rückweg zum Sender blockiert wird. Der Sender merkt dann nicht, dass er zu große Pakete sendet. Viele Geräte droppen das zu große Paket einfach; es gibt keine automatische Fragmentierung im Netz; und ohne ICMPv6 PTB gibt es keinen Hinweis. Das Ergebnis ist ein „stiller“ Drop.

Typische Symptome eines IPv6-PMTUD-Blackholes

• „Klein geht, groß nicht“: Kleine HTTP-Requests funktionieren, große Responses/Uploads hängen oder laufen in Retransmissions.
• TLS/HTTPS wirkt zufällig: Bestimmte TLS-Handshakes oder Zertifikatsketten verursachen größere Pakete; einige Clients scheitern, andere nicht.
• VPN/Tunnel-Probleme: Über IPsec/GRE/VXLAN sinkt die effektive MTU; ohne korrekte Anpassung entstehen Drops.
• Dual-Stack-Wechsel: IPv6 ist „kaputt“, Clients fallen auf IPv4 zurück; das kaschiert das Problem zeitweise.
• Retransmissions ohne Fortschritt: TCP sendet wiederholt dieselben Segmente; ACKs fehlen; Session bleibt im Stall.

Warum gerade Tunnels und Overlays MTU-Probleme verstärken

Die meisten IPv6-MTU-Probleme entstehen nicht auf „blankem Ethernet“, sondern in Netzen mit Encapsulation: VPNs, Overlays, Provider-Transport, Cloud-VPCs, MPLS-Interconnects, GRE/IP-in-IP. Jede Encapsulation frisst Bytes, reduziert die effektive MTU für Nutzdaten und verschiebt damit die Grenze, ab der PMTUD greifen muss.

• Encapsulation Overhead: Zusätzliche Header reduzieren Payload-MTU.
• Uneinheitliche MTUs: Underlay hat 1500, Overlay erwartet 1500 – das kann nicht gleichzeitig stimmen.
• Middleboxes filtern ICMPv6: Häufigster Blackhole-Auslöser in Tunnelketten.

Praktischer Tipp: Wenn ein Tunnel im Pfad ist, ist PMTUD- und MTU-Debugging fast immer ein Top-Kandidat – auch wenn „IPv6 grundsätzlich funktioniert“.

ICMPv6 „Packet Too Big“ und Firewall-Policies: Der Klassiker

Viele Security-Policies sind historisch aus IPv4 abgeleitet und blocken ICMP pauschal oder „so viel wie möglich“. In IPv6 ist das gefährlich. ICMPv6 ist integraler Bestandteil von ND (Neighbor Discovery), Fehlerdiagnose und PMTUD. Wenn Sie ICMPv6 „Packet Too Big“ blocken, bauen Sie ein Blackhole ein. Punkt.

• Erlauben statt blind blocken: ICMPv6 PTB muss durchkommen, sonst bricht PMTUD.
• Rate-limiten statt verbieten: Wenn Sie Missbrauch fürchten, nutzen Sie Rate-Limits/Policer (z. B. CoPP), aber lassen Sie funktionale ICMPv6-Typen passieren.
• Symmetrie beachten: PTB ist Rückwegverkehr; eine „Outbound-only“-Regel hilft nicht, wenn inbound ICMPv6 geblockt ist.

Die Relevanz von ICMPv6 für PMTUD ergibt sich direkt aus RFC 8201.

Nachweis statt Vermutung: So beweisen Sie ein IPv6-MTU-Problem

Professionelles Troubleshooting bedeutet, die Hypothese „PMTUD-Blackhole“ zu beweisen. Dazu brauchen Sie nicht zwingend exotische Tools; Sie brauchen eine saubere Beweiskette: (1) Große Pakete gehen raus, (2) sie kommen nicht an, (3) ICMPv6 PTB fehlt oder wird gedroppt, (4) nach MTU-Anpassung verschwindet das Problem.

Beweis mit Packet Capture

• Auf Senderseite: Sehen Sie große TCP-Segmente/IPv6-Pakete, Retransmissions, aber keine Fortschritts-ACKs.
• Auf dem Pfad: Sehen Sie Drops oder fehlende Weiterleitung großer Pakete (z. B. an einem Tunnel-Endpunkt).
• Auf Rückweg: Sehen Sie, ob ICMPv6 „Packet Too Big“ gesendet wird – und ob es den Sender erreicht.

Für Capture-Strategien sind Wireshark Dokumentation und die tcpdump Manpage nützliche Referenzen.

Beweis mit „Follow the Packet“ an mehreren Punkten

Gerade bei Blackholes ist ein Multi-Point Capture besonders stark: Sie capturen denselben Flow vor und nach dem vermuteten Engpass (z. B. vor einem VPN-Gateway und hinter dem Tunnel). Wenn große Pakete vor dem Tunnel sichtbar sind, aber hinter dem Tunnel fehlen, ist der Drop-Ort stark eingegrenzt. Wenn zusätzlich ICMPv6 PTB auf dem Rückweg „verschwindet“, ist die Blackhole-Ursache praktisch bewiesen.

Beweis durch kontrollierte Anpassung

• MSS/MTU temporär reduzieren: Wenn das Problem sofort verschwindet, ist PMTUD/MTU sehr wahrscheinlich.
• ICMPv6 PTB temporär erlauben: Wenn danach große Transfers funktionieren, ist die Ursache eindeutig.
• Nur eine Variable ändern: Sonst verlieren Sie die Beweiskraft der Maßnahme.

TCP, MSS und IPv6: Warum die „richtige“ Stellschraube oft MSS ist

In vielen Umgebungen ist es operativ einfacher, TCP MSS zu steuern als die echte Link-MTU überall konsistent zu machen. MSS (Maximum Segment Size) beeinflusst die TCP-Payloadgröße, sodass IP-Pakete kleiner bleiben und nicht in PMTUD-Grenzen laufen. Das ist besonders hilfreich bei Tunneln, wo die effektive MTU niedriger ist.

• MSS ist TCP-spezifisch: UDP/QUIC profitieren nicht direkt von MSS und brauchen saubere PMTUD/MTU.
• Zu niedrig ist auch schlecht: Zu kleine MSS erhöht Overhead und kann Performance reduzieren.
• MSS ist eine Mitigation, kein Ersatz für korrektes PMTUD: Für generische IPv6-Funktionalität müssen ICMPv6 PTB und Pfad-MTU grundsätzlich funktionieren.

Fragmentation Header und Middleboxes: Wenn Sicherheit IPv6 bricht

Ein weiterer Stolperstein: Manche Security-Geräte behandeln IPv6 Extension Headers (inkl. Fragmentation Header) restriktiv oder droppen sie standardmäßig. Das kann zu einem zweiten Blackhole führen: Der Sender fragmentiert (weil er keine andere Wahl hat), aber Fragmente werden unterwegs gedroppt. Die Symptome sind ähnlich wie bei PMTUD-Problemen, aber die Ursache ist anders.

• Indiz: Fragmentierte IPv6-Pakete tauchen in Captures auf, aber nur Fragmente fehlen hinter einer Firewall.
• Mitigation: Policy gezielt anpassen: Fragmentation Header nicht pauschal droppen, sondern mit klaren Regeln und Logging behandeln.
• Best Practice: Ziel bleibt: Fragmentierung vermeiden, indem PMTUD funktioniert und MTU sauber ist.

Fehlerbilder nach Umgebung: Campus, Datacenter, WAN, Cloud

IPv6-MTU-Probleme sind universell, aber ihre Ursachen unterscheiden sich je nach Umgebung. Das hilft bei der Priorisierung.

• Campus: Häufig zu harte IPv6-ACLs/ICMPv6-Filter, RA/ND-Security-Features, WLAN-Controller-Pfade, Mischbetrieb mit alten Geräten.
• Datacenter: Overlays (VXLAN), ECMP-Fabrics, Anycast-Gateways, restriktive East-West-Firewalls.
• WAN: Provider-MTU, MPLS/Interconnect, IPsec-Tunnel, asymmetrische Pfade und ICMPv6-Blockaden in Transit.
• Cloud: Virtuelle Appliances, Security Groups/NACLs, unterschiedliche IPv6- und IPv4-Pfade, Load Balancer mit abweichenden MTUs.

Mitigation-Strategien: Stabilisieren, ohne „IPv6 aus“ zu spielen

Im Incident wollen Sie schnell stabilisieren, aber nachhaltig beheben. Für IPv6-MTU-Probleme ist die beste Strategie eine abgestufte Reihenfolge: erst funktionale ICMPv6 sicherstellen, dann MTU konsistent machen, dann MSS/Workarounds nur dort einsetzen, wo sie operativ sinnvoll sind.

• ICMPv6 PTB erlauben: Ohne das bleibt PMTUD fragil. Logging und Rate-Limits nutzen, wenn nötig.
• MTU entlang kritischer Pfade vereinheitlichen: Besonders bei Tunnelketten: Underlay/Overlay sauber dimensionieren.
• MSS-Clamping für TCP: Als schnelle, kontrollierte Mitigation an Tunnel-Edges.
• Fragmentation Header Policies prüfen: Nicht pauschal droppen; gezielt behandeln.
• Observability pro Adressfamilie: IPv6-Metriken getrennt betrachten (p95/p99, timeouts, retransmissions), damit Blackholes nicht „im Durchschnitt“ verschwinden.

Runbook-Baustein: IPv6 PMTUD Blackhole in 15 Minuten verifizieren

• Minute 0–3: Symptom prüfen: „klein geht, groß nicht“, Uploads/TLS hängen, nur IPv6 betroffen? Betroffene Pfade/Standorte eingrenzen.
• Minute 3–6: Hypothese bilden: Tunnel/Overlay im Pfad? ICMPv6 restriktiv? MTU-Mismatch wahrscheinlich? Erste Indizien aus Logs/Firewall-Regeln sammeln.
• Minute 6–9: Capture starten (kurz, gefiltert): Senderseite auf Retransmissions großer Segmente, und ob ICMPv6 PTB ankommt.
• Minute 9–12: Zweiter Messpunkt (wenn möglich): vor/nach Tunnel oder vor/nach Firewall, um Drop-Ort zu isolieren („Follow the Packet“).
• Minute 12–15: Kontrollierte Mitigation testen: ICMPv6 PTB gezielt erlauben oder MSS/MTU temporär reduzieren. Wenn der Fehler sofort verschwindet, ist PMTUD/MTU als Root Cause stark bestätigt. Danach nachhaltigen Fix planen und dokumentieren.

Weiterführende Quellen

• RFC 8200 für IPv6-Grundlagen und das Verhalten von Extension Headers (inkl. Fragmentation Header)
• RFC 8201 für IPv6 Path MTU Discovery und die Rolle von ICMPv6 „Packet Too Big“
• RFC 4443 für ICMPv6 (Typen/Mechanik), relevant für sichere Filterregeln
• Wireshark Dokumentation für Analyse von Retransmissions, ICMPv6 PTB und Fragmentation in PCAPs
• tcpdump Manpage für produktionssichere Captures, Ring Buffer und effiziente Filter im Incident

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.