MTU/MSS Debugging: PMTUD Blackholes und Fragmentierung finden

MTU/MSS Debugging gehört zu den klassischen „mysteriösen“ Fehlerbildern im Netzwerkbetrieb: Logins funktionieren, kleine Webseiten laden, aber große Uploads hängen; ein VPN verbindet, doch bestimmte Anwendungen laufen nur sporadisch; TLS-Handshakes bleiben stehen, obwohl Ping und Traceroute „gut“ aussehen. In vielen Fällen steckt kein DNS- oder Routingproblem dahinter, sondern eine falsche Path MTU (PMTU), ein fehlerhafter MSS-Wert oder ein PMTUD Blackhole: Der Pfad kann große Pakete nicht transportieren, aber die notwendigen ICMP-Meldungen („Fragmentation Needed“ bzw. „Packet Too Big“) kommen nicht zurück. Das Ergebnis sind Fragmentierungsprobleme, Retransmissions, Timeouts und scheinbar zufällige Applikationsfehler. In komplexen Umgebungen mit IPsec, GRE, VXLAN, MPLS, SD-WAN, Cloud-Gateways und Security-Inspection ist MTU/MSS Debugging deshalb ein Muss. Dieser Artikel zeigt Ihnen ein systematisches Vorgehen, um PMTUD Blackholes und Fragmentierung end-to-end zu finden, die richtige MTU/MSS abzuleiten, Messpunkte sauber zu setzen und Fixes so umzusetzen, dass sie dauerhaft stabil bleiben.

Begriffe sauber trennen: MTU, PMTU und MSS

Viele MTU-Probleme werden unnötig kompliziert, weil MTU und MSS durcheinandergeraten. Für ein sauberes Debugging brauchen Sie eine klare Begriffsbasis.

• MTU (Maximum Transmission Unit): maximale Größe eines IP-Pakets (bzw. Frames) auf einem Link, typischerweise 1500 Byte im Ethernet (ohne VLAN-Overhead-Betrachtung).
• PMTU (Path MTU): die kleinste MTU entlang des gesamten Pfads zwischen Quelle und Ziel.
• MSS (Maximum Segment Size): maximale TCP-Nutzlast pro Segment (ohne IP- und TCP-Header). MSS wird im TCP-Handshake ausgehandelt.
• PMTUD (Path MTU Discovery): Mechanismus, mit dem Endpunkte die PMTU ermitteln und Paketgrößen anpassen, um Fragmentation zu vermeiden.

Merksatz für die Praxis

• MTU ist ein Link-/Pfadthema (IP-Paketgröße).
• MSS ist ein TCP-Thema (Payload-Größe), das indirekt MTU-Probleme entschärfen kann.

Wenn Sie Protokollgrundlagen und Fragmentationsmechanik nachschlagen möchten, sind Primärquellen wie RFC 791 (Internet Protocol) und für moderne ICMP-Mechaniken RFC 1191 (Path MTU Discovery) gute Ausgangspunkte. Für IPv6 ist PMTUD besonders relevant, weil Router unterwegs nicht fragmentieren; hierzu ist RFC 8201 (Path MTU Discovery for IPv6) eine zentrale Referenz.

Typische Symptome: So erkennen Sie MTU/MSS-Probleme schnell

MTU-Fehler zeigen sich selten als „kompletter Ausfall“. Häufig wirken sie wie Applikations- oder Securityprobleme. Diese Muster sind besonders typisch:

• „Login geht, Upload hängt“: kleine Requests funktionieren, große POSTs/TLS Records laufen in Timeouts.
• „Nur manche Websites/Services“: unterschiedliche Pfade, CDNs, TLS-Record-Größen, unterschiedliche MTU entlang des Pfads.
• TLS Handshake hängt: ClientHello/ServerHello-Verlauf stoppt, weil große Pakete nicht durchkommen.
• VPN/SD-WAN ok, aber bestimmte Apps brechen ab: Tunnel-Overhead reduziert effektive MTU.
• „Ping geht, aber HTTP nicht“: ICMP-Ping nutzt kleine Pakete; Applikationen senden größere.
• Viele TCP Retransmissions / RTOs: Sender wiederholt Segmente, weil ACKs fehlen (oft bei großen Segmenten/Records).

Warum PMTUD Blackholes entstehen

Ein PMTUD Blackhole entsteht, wenn ein Router oder ein Link im Pfad ein zu großes Paket nicht weiterleiten kann und es verwirft, aber die notwendige ICMP-Rückmeldung nicht beim Sender ankommt. Der Sender lernt dann nicht, dass er kleinere Pakete senden muss. Das kann mehrere Ursachen haben:

• ICMP wird gefiltert: Firewalls blockieren „Fragmentation Needed“ / „Packet Too Big“.
• ICMP wird gerate-limited: Rückmeldungen kommen zu spät oder zu selten.
• Asymmetrische Pfade: ICMP-Rückweg ist anders und wird unterwegs verworfen.
• Middleboxes: NAT/Inspection verändert oder blockiert ICMP-Fehlermeldungen.
• Tunnel-Overhead: effektive MTU sinkt, aber Endpunkte senden weiterhin „groß“.

Warum das im Jahr 2026 immer noch passiert

Viele Security-Setups behandeln ICMP pauschal als „unsicher“ und blockieren es. Für PMTUD ist das jedoch kontraproduktiv. Best Practice ist nicht „ICMP überall offen“, sondern gezielt notwendige ICMP-Typen zu erlauben, die für Betrieb und Fehlermeldungen relevant sind.

Fragmentierung verstehen: Wann sie hilft und wann sie schadet

Fragmentierung ist kein „Bug“, sondern ein Mechanismus: IPv4 kann Pakete fragmentieren, damit sie über Links mit kleinerer MTU passen. In der Praxis ist Fragmentierung jedoch oft problematisch, weil Fragmente verloren gehen oder von Security-Geräten verworfen werden, und weil Reassembly Ressourcen kostet.

• IPv4 Fragmentation: kann unterwegs passieren (wenn DF nicht gesetzt), führt aber häufig zu Performanceproblemen und Security-Drops.
• IPv6: Router fragmentieren nicht; nur Endpunkte dürfen fragmentieren. PMTUD ist daher essenziell.
• Security-Realität: Viele Firewalls behandeln Fragmente restriktiv; daher ist „Fragmentierung als Lösung“ selten nachhaltig.

Systematisches Vorgehen: MTU/MSS Debugging end-to-end

Das Ziel ist, die kleinste MTU im Pfad zu finden oder den Punkt zu identifizieren, an dem ICMP-Feedback verloren geht. Arbeiten Sie schrittweise und evidenzbasiert.

Schritt 1: Betroffenen Flow exakt definieren

• Quelle/Ziel (IPs, FQDN), Ports, Protokoll (TCP/UDP), Richtung (Upload/Download)
• Gilt es nur über VPN/Tunnel/SD-WAN oder auch direkt?
• Nur bestimmte Standorte/Provider oder überall?

Schritt 2: Path MTU grob validieren (gezielte Tests statt Bauchgefühl)

Ein klassischer Ansatz ist, die Paketgröße schrittweise zu erhöhen und zu prüfen, ab wann es scheitert. Bei IPv4 nutzt man dafür häufig ICMP Echo mit DF-Flag (Don’t Fragment), um „echte“ MTU-Grenzen zu erkennen. In der Praxis ist aber wichtig: ICMP kann gefiltert sein – deshalb dienen solche Tests als Indiz, nicht als alleinige Wahrheit.

• IPv4 DF-Test: Wenn ein Paket mit gesetztem DF nicht durchkommt, sollte ein „Fragmentation Needed“ zurückkommen.
• IPv6: Nutzen Sie Tests, die „Packet Too Big“ sichtbar machen; PMTUD ist Pflicht.

Schritt 3: Evidence am Tunnel-/Edge-Punkt sammeln

• Welche effektive MTU gilt am Tunnel-Interface (IPsec/GRE/VXLAN)?
• Gibt es Drops/Errors am WAN-Edge oder an der Firewall?
• Gibt es Hinweise auf Fragment-Drops oder „Malformed“-Drops im Security-Log?
• Werden ICMP-Meldungen erzeugt, aber nicht zugestellt?

Schritt 4: TCP MSS im Handshake prüfen

Bei TCP ist MSS der pragmatische Hebel, um MTU-Probleme zu entschärfen. Prüfen Sie, welche MSS-Werte im SYN/SYN-ACK ausgehandelt werden und ob sie zur effektiven MTU passen. Ein zu hoher MSS-Wert führt dazu, dass große Segmente entstehen, die dann im Pfad fragmentieren oder droppen.

• Zu hohe MSS: häufig bei VPN/Tunnel-Overhead ohne MSS-Clamping
• Zu niedrige MSS: reduziert Throughput unnötig, ist aber oft stabiler

Schritt 5: PMTUD Blackhole nachweisen

Ein PMTUD Blackhole erkennen Sie daran, dass große Pakete „verschwinden“, ohne dass der Sender eine verwertbare ICMP-Meldung erhält. Typisch: Retransmits und Timeouts bei großen Transfers, aber keine erfolgreiche Anpassung der Paketgröße.

• Große Transfers hängen, kleine funktionieren zuverlässig
• PCAP zeigt wiederholte Retransmits großer Segmente/Records
• Keine (oder blockierte) ICMP-Rückmeldungen, die „zu groß“ signalisieren

Paketanalyse: Der schnellste Weg zur harten Evidenz

Wenn Tests und Counters nicht eindeutig sind, ist ein kurzer, gefilterter Capture oft die beste Evidenz. Für MTU/MSS Debugging ist nicht die Menge der Pakete entscheidend, sondern die richtigen Stellen im Ablauf.

• TCP Handshake: MSS-Optionen im SYN/SYN-ACK
• Datentransfer: Segmentgrößen, Retransmits, SACK, Duplicate ACKs
• ICMP Feedback: „Fragmentation Needed“ / „Packet Too Big“ sichtbar oder fehlend
• Fragmentation: IPv4-Fragmente (Fragment Offset, MF-Flag) oder ungewöhnliche Drops danach

Als praxisnahe Referenzen für Capture und Analyse eignen sich die Wireshark-Dokumentation und die tcpdump-Manpage.

Die häufigsten Ursachen in der Praxis: Tunnel, Overhead und falsche Defaults

Die meisten MTU/MSS-Probleme haben wiederkehrende Muster. Wenn Sie diese kennen, sparen Sie im Incident sehr viel Zeit.

IPsec/GRE/SD-WAN Overhead

• Problem: Encapsulation + Encryption reduziert effektive MTU; Endpunkte senden weiterhin 1500.
• Symptom: große Transfers/VPN-Apps hängen; Retransmits steigen.
• Fix: MTU am Tunnel korrekt setzen, MSS-Clamping an Edge, PMTUD-ICMP gezielt erlauben.

VXLAN/Overlay im Data Center

• Problem: Underlay-Links müssen Jumbo Frames unterstützen, sonst droppen große Overlay-Pakete.
• Symptom: Intermittierende App-Probleme, besonders bei großen East-West Transfers.
• Fix: konsistente MTU im Underlay/Overlay, eindeutige Standards pro Segment.

Firewall/Proxy blockiert ICMP oder Fragmente

• Problem: PMTUD Feedback kommt nicht zurück; Fragmente werden verworfen.
• Symptom: Blackhole-Verhalten, besonders bei TLS/HTTP über große Records.
• Fix: gezielt notwendige ICMP-Typen erlauben; Fragment-Handling prüfen.

Fix-Strategien: Was wirklich nachhaltig ist (und was nur kaschiert)

MTU/MSS-Probleme können Sie auf unterschiedliche Weise „wegdrücken“. Nachhaltig ist eine Lösung dann, wenn sie end-to-end konsistent ist und nicht von zufälligem Protokollverhalten abhängt.

Nachhaltige Fixes

• Konsistente MTU: MTU entlang des Pfads (inkl. Overlays) sauber planen und dokumentieren.
• PMTUD ermöglichen: notwendige ICMP-Typen gezielt erlauben, statt ICMP pauschal zu blockieren.
• MSS-Clamping an Engpässen: besonders an Tunnel-Edges und Security-Perimetern.
• Baselines und Tests: synthetische „großer Transfer“-Checks als Canary für VPN/Cloud-Pfade.

Typische Workarounds (mit Risiken)

• „MSS sehr klein setzen“: stabilisiert, kann aber Throughput unnötig reduzieren.
• Fragmentation zulassen: kann kurzfristig helfen, wird aber von Middleboxes oft schlecht behandelt.
• Timeouts erhöhen: kaschiert Symptome, löst nicht die Ursache.

Verifikation: So beweisen Sie, dass PMTUD Blackholes weg sind

Ein Fix ist erst dann wirklich erfolgreich, wenn große Transfers reproduzierbar funktionieren und die Retransmissions im Normalbereich liegen. Nutzen Sie Vorher/Nachher-Vergleiche mit identischen Messpunkten.

• Großer Upload/Download-Test: reproduzierbar ohne Hänger/Timeouts
• PCAP-Check: MSS korrekt, keine auffälligen Retransmits bei großen Segmenten
• ICMP-Feedback: bei absichtlich zu großen Paketen kommt die richtige Meldung zurück (wo sinnvoll testbar)
• Telemetrie: RTT/Loss/Retransmits stabil, keine fragmentbezogenen Drops

Runbook-Baustein: MTU/MSS Debugging in 15 Minuten

• Minute 0–3: Symptomcluster bestätigen (klein ok, groß hängt? nur VPN? nur bestimmter Standort?)
• Minute 3–6: Pfad und Tunnel-Overhead klären (IPsec/GRE/VXLAN/SD-WAN), effektive MTU prüfen
• Minute 6–9: MSS im Handshake verifizieren (SYN/SYN-ACK), Verdacht auf zu große Segmente
• Minute 9–12: ICMP/PMTUD prüfen (Logs/Policies), Blackhole-Indizien sammeln
• Minute 12–15: Low-Risk Fix (MSS-Clamping am Edge) + Verifikation mit großem Transfer

Weiterführende Quellen für Standards und Analysepraxis

• RFC 791 (Internet Protocol) für Fragmentation und IP-Grundlagen
• RFC 1191 (Path MTU Discovery) für PMTUD unter IPv4
• RFC 8201 (Path MTU Discovery for IPv6) für PMTUD unter IPv6
• RFC 9293 (TCP) für MSS, Retransmissions und Transportmechanik
• Wireshark Dokumentation für TCP/MSS/ICMP-Analyse und Troubleshooting-Workflows
• tcpdump Manpage für performantes Capturing und BPF-Filter
• RFC Editor als Primärquelle für Netzwerkstandards

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.