MTU/MSS Clamping: Wenn Webseiten nicht laden (Praxisfix)

Wenn Webseiten „halb laden“, Downloads hängen oder nur bestimmte HTTPS-Seiten nicht funktionieren, steckt oft ein MTU/PMTUD-Problem dahinter. Besonders häufig tritt das bei PPPoE, VPN (IPsec/GRE), LTE/Carrier-NAT oder restriktiven Firewalls auf, die ICMP „Fragmentation Needed“ blockieren. MTU- und MSS-Clamping ist ein bewährter Praxisfix: Du reduzierst die maximale Paketgröße bzw. die TCP-MSS so, dass Endgeräte automatisch kleinere Segmente senden und Fragmentierung vermieden wird.

Typische Symptome bei MTU/PMTUD-Problemen

MTU-Fehler wirken oft wie „Internet instabil“, sind aber sehr spezifisch: Kleine Pakete gehen, große nicht. DNS und Ping funktionieren, HTTPS hängt. Das ist ein klassischer Hinweis auf kaputtes Path MTU Discovery (PMTUD).

• Ping zu IPs funktioniert, aber Webseiten laden nicht vollständig
• Nur bestimmte Seiten (oft große TLS-Handshakes/Objekte) hängen
• VPN-Tunnel steht, aber einzelne Anwendungen brechen
• Problem tritt nach Wechsel auf PPPoE/VPN/Provider auf

Ursache: PMTUD und blockiertes ICMP

TCP versucht normalerweise, die maximale Paketgröße entlang des Pfads zu finden (PMTUD). Wenn ein Router unterwegs Fragmentierung verbietet und ICMP „Fragmentation Needed“ nicht zurückkommt, bleiben Endgeräte bei zu großen Paketen hängen.

Merker: „ICMP blockiert“ + kleinerer MTU-Pfad = Hänger

$\text{Wenn} \text{Path MTU} < \text{Send MTU} \text{und ICMP fehlt} \to \text{Timeouts}$

MTU vs. MSS: Was ist der Unterschied?

MTU ist die maximale IP-Paketgröße auf einem Interface. MSS ist die maximale TCP-Nutzdatenlänge pro Segment (ohne IP/TCP-Header). MSS-Clamping wirkt nur auf TCP und ist oft der „sanfte“ Fix, weil es Endgeräte automatisch kleinere TCP-Segmente senden lässt.

• MTU: Grenze für alle IP-Pakete (TCP/UDP/ICMP)
• MSS: TCP-spezifisch, beeinflusst Segmentgröße
• MSS-Clamping: passt MSS in TCP-SYN an (transparent für Clients)

Zusammenhang (IPv4, ohne Optionen)

$\text{MSS}=\text{MTU}–20–20$

Praxiswerte: Häufige MTU/MSS-Kombinationen

Diese Werte sind in vielen Umgebungen bewährt. Für PPPoE ist 1492 eine typische MTU, daraus ergibt sich eine MSS von 1452. Bei zusätzlichen Overheads (IPsec/GRE) kann die MSS noch kleiner werden.

• Ethernet: MTU 1500 → MSS 1460
• PPPoE: MTU 1492 → MSS 1452
• „Sicherer“ Internet-Fix: MSS 1360–1452 (je nach Tunnel/Overhead)

Diagnose Schritt 1: MTU mit DF-Ping testen

Mit DF (Don’t Fragment) findest du heraus, ab welcher Größe Pakete scheitern. Du sendest ICMP-Echos mit gesetztem DF-Bit und variierst die Größe.

DF-Ping auf Cisco (Beispiel)

Router# ping 8.8.8.8 df-bit size 1472
Router# ping 8.8.8.8 df-bit size 1464
Router# ping 8.8.8.8 df-bit size 1452

Wie du die Größe interpretierst

Bei IPv4 ist die Ping-„size“ typischerweise Nutzlast. Addiere ca. 28 Byte (IP+ICMP Header), um Richtung MTU zu denken.

$\text{MTU}\approx \text{PingSize}+28$

Diagnose Schritt 2: Interface-MTU und Drops prüfen

Prüfe die MTU am WAN-/Tunnel-Interface und ob Errors/Drops steigen. Gerade bei PPPoE/Dialer oder Tunneln ist der Default oft nicht passend.

Router# show interfaces gigabitEthernet0/1 | include MTU|drops|error
Router# show interfaces dialer0 | include MTU|drops|error
Router# show interfaces tunnel0 | include MTU|drops|error

Fix 1: MTU korrekt setzen (z. B. PPPoE)

Wenn der Overhead bekannt ist (PPPoE), ist das Setzen der Interface-MTU sauber. Damit vermeidest du Fragmentierung direkt am Rand.

PPPoE: MTU 1492 am Dialer (typisch)

Router# configure terminal
Router(config)# interface dialer0
Router(config-if)# mtu 1492
Router(config-if)# end

Fix 2: MSS-Clamping setzen (Praxisfix für „Webseiten laden nicht“)

MSS-Clamping ist oft der schnellste, wirksamste Fix für TCP-basierte Probleme (HTTP/HTTPS). Du setzt ihn meist am WAN-/Tunnel-Interface oder am Dialer.

MSS-Clamp am WAN/Dialer setzen

Router# configure terminal
Router(config)# interface dialer0
Router(config-if)# ip tcp adjust-mss 1452
Router(config-if)# end

MSS-Clamp für Tunnel-Szenarien (typischer kleinerer Wert)

Bei GRE/IPsec kann ein konservativer MSS-Wert nötig sein. In der Praxis wird häufig in Schritten getestet.

Router# configure terminal
Router(config)# interface tunnel0
Router(config-if)# ip tcp adjust-mss 1360
Router(config-if)# end

Wo setzt man MSS-Clamping richtig?

Setze MSS-Clamping dort, wo die MTU kleiner wird: an PPPoE-Dialern, Tunnelinterfaces oder am WAN-Interface, wenn Upstream kleinere MTU erzwingt. Ziel ist, dass TCP-SYNs durch diese Stelle laufen und angepasst werden.

• PPPoE: Dialer-Interface
• VPN/GRE: Tunnel-Interface oder WAN, je nach Design
• Edge-Router: am egress Richtung Internet, wenn Problem dort entsteht

Wichtig: ICMP nicht komplett blockieren

MTU-Fixes sind hilfreich, aber PMTUD funktioniert nur, wenn ICMP-Fehlermeldungen nicht pauschal geblockt werden. In Firewalls/ACLs sollten relevante ICMP-Typen erlaubt sein, damit der Pfad sich selbst „einpendeln“ kann.

• IPv4: ICMP „Fragmentation Needed“ (PMTUD)
• IPv6: ICMPv6 ist essentiell für PMTUD und Neighbor Discovery

Verifikation nach dem Fix

Nach MTU/MSS-Anpassung testest du erneut DF-Pings und reale Anwendungen (HTTPS). Wenn das Problem verschwindet, beobachte zusätzlich Errors/Drops und dokumentiere den Wert.

Router-Tests

Router# ping 8.8.8.8 df-bit size 1472
Router# ping 8.8.8.8 df-bit size 1452
Router# traceroute 8.8.8.8

Client-Tests

Client$ curl https://example.com
Client$ curl https://large-download.example.com/file.iso

Typische Stolperfallen

Wenn MSS-Clamping „nichts bringt“, ist oft die Position falsch (SYN läuft nicht über das Interface), oder das Problem ist nicht TCP-MTU, sondern DNS/Firewall/NAT. Auch UDP-basierte Anwendungen profitieren nicht direkt von MSS-Clamping.

• MSS-Clamp am falschen Interface gesetzt (SYN passiert es nicht)
• Problem ist UDP (z. B. bestimmte VPN/VoIP) → MTU/Fragmentation anders prüfen
• ICMP komplett geblockt → PMTUD bleibt kaputt
• Zu aggressiv kleiner MSS-Wert → unnötig schlechter Durchsatz

Quick-Reference: Checkliste (Copy & Paste)

Diese Kommandos helfen dir, MTU-Probleme zu erkennen, zu fixen und zu verifizieren.

show interfaces dialer0 | include MTU|drops|error
show interfaces tunnel0 | include MTU|drops|error
ping 8.8.8.8 df-bit size 1472
ping 8.8.8.8 df-bit size 1464
ping 8.8.8.8 df-bit size 1452
show running-config interface dialer0
show running-config interface tunnel0
traceroute 8.8.8.8

Konfiguration speichern

Wenn Webseiten wieder stabil laden und die Tests konsistent sind, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.