MTU (Maximum Transmission Unit) und MSS (Maximum Segment Size) Clamping sind zentrale Parameter für stabile und performante VPN-Verbindungen. Werden diese falsch konfiguriert, entstehen häufig Performance-Probleme, Paketverluste oder sogar Abbrüche von Sessions. Insbesondere in Carrier-Umgebungen mit IPSec-, SSL- oder MPLS-VPNs kann dies kritisch werden, da die zusätzliche VPN-Header-Größe die effektive MTU reduziert.
Grundlagen von MTU und MSS
Die MTU definiert die maximale Paketgröße, die ein Interface transportieren kann, ohne Fragmentierung. MSS ist die größte TCP-Nutzlast innerhalb eines Pakets. MSS ist somit immer MTU minus Headergröße:
MSS = MTU - (IP-Header + TCP-Header)Fehlerhafte Werte führen dazu, dass Pakete fragmentiert oder verworfen werden, was die VPN-Leistung drastisch verschlechtert.
Typische VPN-Einflüsse
- IPSec: zusätzlicher Header für ESP, AH oder UDP Encapsulation
- SSL-VPN / TLS: zusätzlicher TLS-Header und evtl. TCP-Overhead
- MPLS oder GRE-Tunnel: zusätzliche MPLS/GRE-Header
Warum Clamping nötig ist
Viele Clients oder Server erkennen nicht automatisch die reduzierte MTU im Tunnel. Ohne MSS-Clamping können TCP-Pakete größer als der Tunnel transportierbar sind, was zu:
- Fragmentierung im Tunnel
- ICMP “Fragmentation Needed” Paketen, die evtl. blockiert werden
- Abgebrochenen VPN-Verbindungen bei restriktiven Firewalls
MTU berechnen
Beispiel für IPSec VPN
- Interface MTU: 1500 Bytes
- IPSec ESP Header: 50 Bytes
- MSS für TCP: 1500 – 50 – 20 (IP) – 20 (TCP) = 1410 Bytes
Die MSS sollte also auf 1410 Bytes reduziert werden, damit es keine Fragmentierung gibt.
MSS Clamping konfigurieren
Cisco IOS Beispiel
interface GigabitEthernet0/0
ip mtu 1400
ip tcp adjust-mss 1360
Fortinet / FortiGate Beispiel
config vpn ipsec phase1-interface
edit "VPN-Tunnel1"
set mtu-override enable
set mtu 1400
next
end
Häufige Fallstricke
- MTU und MSS nicht auf allen Tunnel-Endpunkten synchron
- ICMP “Fragmentation Needed” Pakete werden im Provider-Netz blockiert
- SSL/TLS-VPNs mit TCP-over-TCP: Doppel-Fragmentierung
- IPv6-over-IPv4 Tunnel ohne Anpassung der MTU
Diagnose und Monitoring
Tools
- ping mit Paketgrößen-Test:
ping -f -l 1472 - traceroute / tracepath zur Erkennung von MTU-Problemen
- Wireshark oder tcpdump für Fragmentierung
- NetFlow oder sFlow zur Analyse von Retransmits und Paketverlust
Best Practices für Telcos
- Standard-MTU für VPNs im Carrier-Netz dokumentieren (z.B. 1400 Bytes für IPSec)
- MSS-Clamping an allen VPN-Gateways aktivieren
- ICMP “Fragmentation Needed” im Provider-Netz nicht blocken
- Regelmäßige Tests vor Rollout neuer VPN-Tunnel
- Monitoring auf TCP-Retransmits, Fragmentierung und Tunnel-Abbrüche
Zusammenfassung
MTU & MSS Clamping sind entscheidend für stabile VPN-Verbindungen, besonders in Multi-ISP oder Carrier-Umgebungen. Richtige Berechnung, Konfiguration und Monitoring verhindern Fragmentierung, TCP-Retransmits und Performance-Probleme. Telcos sollten klare Richtlinien für MTU/MSS und Firewall-Policies erstellen, um VPNs performant und zuverlässig zu betreiben.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
