MTU & MSS Clamping: Häufige Performance-Fallen im VPN

MTU (Maximum Transmission Unit) und MSS (Maximum Segment Size) Clamping sind zentrale Parameter für stabile und performante VPN-Verbindungen. Werden diese falsch konfiguriert, entstehen häufig Performance-Probleme, Paketverluste oder sogar Abbrüche von Sessions. Insbesondere in Carrier-Umgebungen mit IPSec-, SSL- oder MPLS-VPNs kann dies kritisch werden, da die zusätzliche VPN-Header-Größe die effektive MTU reduziert.

Grundlagen von MTU und MSS

Die MTU definiert die maximale Paketgröße, die ein Interface transportieren kann, ohne Fragmentierung. MSS ist die größte TCP-Nutzlast innerhalb eines Pakets. MSS ist somit immer MTU minus Headergröße:

MSS = MTU - (IP-Header + TCP-Header)

Fehlerhafte Werte führen dazu, dass Pakete fragmentiert oder verworfen werden, was die VPN-Leistung drastisch verschlechtert.

Typische VPN-Einflüsse

• IPSec: zusätzlicher Header für ESP, AH oder UDP Encapsulation
• SSL-VPN / TLS: zusätzlicher TLS-Header und evtl. TCP-Overhead
• MPLS oder GRE-Tunnel: zusätzliche MPLS/GRE-Header

Warum Clamping nötig ist

Viele Clients oder Server erkennen nicht automatisch die reduzierte MTU im Tunnel. Ohne MSS-Clamping können TCP-Pakete größer als der Tunnel transportierbar sind, was zu:

• Fragmentierung im Tunnel
• ICMP “Fragmentation Needed” Paketen, die evtl. blockiert werden
• Abgebrochenen VPN-Verbindungen bei restriktiven Firewalls

MTU berechnen

Beispiel für IPSec VPN

• Interface MTU: 1500 Bytes
• IPSec ESP Header: 50 Bytes
• MSS für TCP: 1500 – 50 – 20 (IP) – 20 (TCP) = 1410 Bytes

Die MSS sollte also auf 1410 Bytes reduziert werden, damit es keine Fragmentierung gibt.

MSS Clamping konfigurieren

Cisco IOS Beispiel

interface GigabitEthernet0/0
 ip mtu 1400
 ip tcp adjust-mss 1360

Fortinet / FortiGate Beispiel

config vpn ipsec phase1-interface
    edit "VPN-Tunnel1"
        set mtu-override enable
        set mtu 1400
    next
end

Häufige Fallstricke

• MTU und MSS nicht auf allen Tunnel-Endpunkten synchron
• ICMP “Fragmentation Needed” Pakete werden im Provider-Netz blockiert
• SSL/TLS-VPNs mit TCP-over-TCP: Doppel-Fragmentierung
• IPv6-over-IPv4 Tunnel ohne Anpassung der MTU

Diagnose und Monitoring

Tools

• ping mit Paketgrößen-Test: ping -f -l 1472
• traceroute / tracepath zur Erkennung von MTU-Problemen
• Wireshark oder tcpdump für Fragmentierung
• NetFlow oder sFlow zur Analyse von Retransmits und Paketverlust

Best Practices für Telcos

• Standard-MTU für VPNs im Carrier-Netz dokumentieren (z.B. 1400 Bytes für IPSec)
• MSS-Clamping an allen VPN-Gateways aktivieren
• ICMP “Fragmentation Needed” im Provider-Netz nicht blocken
• Regelmäßige Tests vor Rollout neuer VPN-Tunnel
• Monitoring auf TCP-Retransmits, Fragmentierung und Tunnel-Abbrüche

Zusammenfassung

MTU & MSS Clamping sind entscheidend für stabile VPN-Verbindungen, besonders in Multi-ISP oder Carrier-Umgebungen. Richtige Berechnung, Konfiguration und Monitoring verhindern Fragmentierung, TCP-Retransmits und Performance-Probleme. Telcos sollten klare Richtlinien für MTU/MSS und Firewall-Policies erstellen, um VPNs performant und zuverlässig zu betreiben.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.