MTU/MSS in VPNs: Fragmentierung, PMTUD Blackholes und Fixes

MTU/MSS in VPNs ist eines der Themen, das in der Praxis für die meisten „unerklärlichen“ VPN-Probleme verantwortlich ist – und gleichzeitig am häufigsten übersehen wird. Wenn ein Tunnel „up“ ist, gehen viele Teams automatisch davon aus, dass Konnektivität gegeben ist. Doch gerade in VPN-Umgebungen mit zusätzlicher Kapselung (IPSec, GRE, VXLAN, WireGuard, SSL/TLS-VPN), NAT-T, Firewalls und Cloud-Transits sinkt die effektive Paketgröße, die ohne Fragmentierung durch den Pfad passt. Wird dann Path MTU Discovery (PMTUD) durch gefiltertes ICMP oder ungünstige Geräte-Defaults sabotiert, entstehen sogenannte PMTUD Blackholes: Kleine Pakete funktionieren, große Pakete verschwinden still. Typische Symptome sind: bestimmte Webseiten laden nicht, große Downloads hängen, TLS-Handshakes schlagen sporadisch fehl, RDP/VDI fühlt sich instabil an oder VoIP/Video zeigt Artefakte. Dieser Artikel erklärt auf Expertenniveau, wie MTU und MSS in VPNs zusammenhängen, warum Fragmentierung so oft problematisch ist, wie PMTUD Blackholes entstehen und welche Fixes in der Praxis wirklich helfen – ohne pauschale „Workarounds“, die später neue Probleme verursachen.

Grundlagen: MTU, MSS und warum VPNs die effektive MTU senken

MTU (Maximum Transmission Unit) ist die maximale IP-Paketgröße (in Bytes), die ein Interface ohne Fragmentierung übertragen kann. Im Ethernet-Standard sind das häufig 1500 Bytes. MSS (Maximum Segment Size) ist TCP-spezifisch und gibt an, wie groß die TCP-Nutzlast pro Segment sein darf. MSS ist typischerweise MTU minus IP- und TCP-Header. Bei IPv4 ohne Optionen gilt oft:

• IPv4 Header: 20 Bytes
• TCP Header: 20 Bytes
• MSS bei MTU 1500: 1500 – 20 – 20 = 1460 Bytes

VPNs senken die effektive MTU, weil zusätzliche Header und ggf. Authentisierung/Integrity-Daten hinzukommen. Diese Overheads unterscheiden sich je nach Technologie (z. B. IPSec ESP, IPSec NAT-T, GRE, WireGuard, TLS-VPN). Das Ergebnis ist immer gleich: Ein Paket, das im „normalen LAN“ ohne Probleme passt, kann nach Kapselung zu groß werden und muss fragmentiert oder verworfen werden.

Fragmentierung in VPNs: Warum sie so oft „funktioniert“ und trotzdem Probleme macht

Fragmentierung ist technisch nicht grundsätzlich „verboten“, aber im Betrieb häufig problematisch. Viele Netzwerke und Security-Devices mögen Fragmente nicht: Sie erschweren Stateful Inspection, erhöhen Reassembly-Aufwand und werden in restriktiven Umgebungen teils gedroppt. Gerade bei verschlüsseltem Traffic ist es außerdem schwieriger, Fragmente zu analysieren oder zu priorisieren.

IPv4 Fragmentierung: Sender oder Router können fragmentieren

• DF-Bit (Don’t Fragment): Wenn gesetzt, darf ein Router nicht fragmentieren, sondern muss das Paket droppen und ICMP „Fragmentation Needed“ senden.
• Wenn DF nicht gesetzt: Router dürfen fragmentieren – aber Fragmente werden oft schlechter behandelt (Rate Limits, Drops).

IPv6 Fragmentierung: Router fragmentieren nicht

Bei IPv6 ist Router-Fragmentierung nicht vorgesehen; Fragmentierung muss vom Sender erfolgen. Daher ist PMTUD in IPv6-Umgebungen noch kritischer. Das macht „ICMPv6 blocken“ besonders gefährlich, weil es den Feedback-Kanal für Path-MTU-Informationen kappt.

PMTUD erklärt: Warum ICMP für stabile VPNs wichtig ist

Path MTU Discovery (PMTUD) sorgt dafür, dass Sender die maximale Paketgröße finden, die durch den gesamten Pfad passt. Das funktioniert, indem zu große Pakete verworfen werden und der Router ein ICMP-Feedback sendet, das die kleinere MTU signalisiert. Bei IPv4 heißt das typischerweise „Fragmentation Needed“, bei IPv6 entsprechende ICMPv6-Meldungen. Hintergrundinformationen zu PMTUD finden sich in RFC 1191 (Path MTU Discovery für IPv4) sowie für IPv6 in RFC 8201 (Path MTU Discovery für IPv6).

PMTUD Blackhole: Was passiert, wenn ICMP gefiltert wird?

Ein PMTUD Blackhole entsteht, wenn der Pfad große Pakete verwirft, aber das notwendige ICMP-Feedback nie beim Sender ankommt (z. B. weil Firewalls ICMP pauschal blocken). Der Sender merkt dann nicht, dass er kleinere Pakete senden muss. Ergebnis:

• Kleine Pakete funktionieren: Ping mit kleiner Payload, DNS, kleine HTTP-Requests.
• Große Pakete scheitern: TLS-Handshakes, große HTTP-Responses, Dateiübertragungen, bestimmte RDP/VDI-Operationen.
• Symptom wirkt „zufällig“: Manche Webseiten gehen, andere nicht; manche Tools funktionieren, andere hängen.

Warum VPNs PMTUD-Probleme verschärfen

VPNs erhöhen das Risiko für PMTUD Blackholes aus drei Gründen:

• Zusätzlicher Overhead: Mehr Header bedeuten weniger Platz für Nutzdaten – die effektive MTU sinkt.
• Verschlüsselung und Inspection: Security-Devices sehen den Inhalt nicht, behandeln Traffic konservativer, Fragment-Handling wird schlechter.
• Heterogene Pfade: Multi-Region, Cloud-Transits, Providerwechsel, NAT-T – unterschiedliche Pfade können unterschiedliche effektive MTUs haben.

Typische Symptome in der Praxis: So erkennen Sie MTU/MSS-Probleme schnell

MTU/MSS-Probleme haben charakteristische Muster. Wer diese Muster erkennt, spart Stunden an „VPN neu starten“ oder „DNS checken“.

• „VPN verbindet, aber einige Webseiten laden nicht“: Häufig PMTUD Blackhole oder MSS zu hoch.
• „Große Downloads hängen, kleine gehen“: Fragmentierung oder ICMP gefiltert.
• „TLS/HTTPS ist instabil“: Große TLS Records oder Zertifikatsketten passen nicht; Retransmits steigen.
• „RDP/VDI fühlt sich laggy an“: Retransmits durch Fragment-Drops oder zu große TCP-Segmente nach Encapsulation.
• „Nur über Mobilfunk/Hotel-WLAN“: NAT/Firewall im Underlay filtert ICMP oder Fragmente aggressiver.

Die wichtigsten Fixes: Was wirklich hilft (und warum)

Es gibt drei Haupthebel: (1) MTU passend setzen, (2) MSS korrekt clampen, (3) PMTUD wieder funktionsfähig machen. In professionellen Umgebungen ist die beste Lösung oft eine Kombination.

Fix 1: Tunnel-MTU konservativ festlegen

Eine bewährte Praxis ist, die MTU auf dem Tunnelinterface (oder dem virtuellen Interface) so zu setzen, dass nach Kapselung keine Fragmentierung mehr nötig ist. Das erfordert, den Overhead der verwendeten Encapsulation realistisch zu berücksichtigen. Wichtig ist dabei Konsistenz: Wenn Region A andere Tunnel-MTUs nutzt als Region B, entstehen schwer reproduzierbare Fehlerbilder.

• Vorteil: Verhindert Fragmentierung bereits am Eingang in den Tunnel.
• Nachteil: Zu konservative MTU kann Overhead erhöhen (mehr Pakete), was PPS/CPU beeinflusst.

Fix 2: MSS-Clamping (TCP) am VPN-Gateway

MSS-Clamping passt die TCP-MSS in SYN/SYN-ACK-Paketen an, sodass Endpunkte kleinere TCP-Segmente nutzen. Dadurch entstehen nach Kapselung keine oversized Pakete. In der Praxis ist MSS-Clamping einer der effektivsten und zugleich risikoärmsten Fixes, weil er TCP auf eine sichere Segmentgröße bringt, ohne auf ICMP angewiesen zu sein.

• Wirkung: Verhindert viele PMTUD Blackholes für TCP-basierten Verkehr.
• Grenze: Hilft nicht direkt für UDP-basierte Protokolle (z. B. VoIP/Video), dort zählt die MTU/Fragmentierung stärker.
• Praxis-Tipp: Clamp am Tunnel-Ingress oder an den relevanten Interfaces, nicht irgendwo „blind“ im Netz.

Fix 3: ICMP gezielt erlauben (PMTUD wieder herstellen)

Der sauberste Netzwerkansatz ist, PMTUD nicht zu sabotieren. Das bedeutet nicht „ICMP komplett offen“, sondern gezielte Freigaben der notwendigen Typen/Code-Kombinationen für PMTUD. Bei IPv4 ist das insbesondere ICMP „Fragmentation Needed“, bei IPv6 sind ICMPv6-Meldungen essenziell. Referenzen dazu sind RFC 1191 und RFC 8201.

• Vorteil: Funktioniert für TCP und UDP, ist „protocol-correct“.
• Nachteil: Erfordert Abstimmung mit Security-Teams und saubere Firewall-Policy; in manchen externen Netzen nicht durchsetzbar.

PMTUD Blackholes diagnostizieren: Evidence statt Rätselraten

Professionelles Troubleshooting beginnt mit Tests, die „klein vs. groß“ unterscheiden und so das Problem schnell eingrenzen. Ziel ist, zu beweisen, dass große Pakete droppen und dass ICMP-Feedback fehlt.

Teststrategie: Schrittweise vergrößern

• Kleine Payload: Funktioniert? Dann ist Grundkonnektivität da.
• Große Payload: Bricht es ab? Dann ist MTU/Fragmentierung wahrscheinlich.
• Vergleich mit/ohne VPN: Tritt das Problem nur über VPN auf, ist Encapsulation/Path-MTU der Schlüssel.

Zwei-Punkt-Capture: Wo verschwinden die Pakete?

• Client-Capture: Sehen Sie Retransmits, MSS-Werte und ob ICMP zurückkommt.
• Gateway außen/innen: Sehen Sie, ob oversized Pakete in den Tunnel gehen und ob Fragmente am Underlay droppen.
• Interpretation: Kommen große Pakete am Gateway an, aber nicht am Ziel, ist der Pfad zwischen Gateway und Ziel relevant; kommen ICMP-Meldungen nie zurück, ist die Blackhole-Hypothese stark.

VPN-spezifische Sonderfälle: IPSec, NAT-T und Multi-Region

MTU/MSS-Probleme sind besonders häufig, wenn mehrere Encapsulation-Layer übereinander liegen. Typische Beispiele: IPSec über NAT-T (UDP-Kapselung) oder IPSec plus zusätzliches Overlay (z. B. GRE über IPSec). Auch Multi-Region-Designs verschärfen das Problem, weil verschiedene Regionen unterschiedliche Underlays und damit unterschiedliche effektive MTUs haben können.

• NAT-T: Zusätzliche UDP-Header senken effektive MTU; Mobilfunknetze filtern ICMP oft aggressiver.
• Mehrfachkapselung: Overhead addiert sich; „funktionierte früher“ kann nach einem zusätzlichen Overlay plötzlich brechen.
• Failover-Pfade: Nach Umschaltung kann die effektive MTU anders sein; Apps brechen nur „nach Failover“.

Best Practices für stabile MTU/MSS-Standards im Enterprise

Der größte Hebel ist Standardisierung. Wenn jede Verbindung eine andere MTU hat, ist Troubleshooting kaum skalierbar. Professionelle Umgebungen definieren daher Profile und halten sie konsistent.

• Standard-MTU pro VPN-Profil: Ein konservativer Wert, der in allen Regionen und auf allen Gateways gleich ist.
• MSS-Clamping als Default für TCP: Besonders für Remote-Access und heterogene Underlays.
• PMTUD nicht zerstören: ICMP gezielt erlauben, statt pauschal zu blocken, insbesondere in internen Netzen.
• Dokumentierte Overhead-Budgets: Für jede Encapsulation-Lage den Overhead kennen und in Templates hinterlegen.
• Synthetische Checks: Regelmäßige Tests mit großen Payloads, um Blackholes früh zu erkennen.

Fehler vermeiden: Die häufigsten Anti-Patterns

• „ICMP ist gefährlich, also blocken wir alles“: Führt zuverlässig zu PMTUD Blackholes, besonders bei IPv6.
• MTU nur auf einer Seite ändern: In konsistenten Designs müssen MTU/MSS-Standards end-to-end gedacht werden.
• Blindes Fragmentieren erzwingen: Fragmentierung kann funktionieren, verschlechtert aber Stabilität und Performance unter Last.
• Jede Verbindung individuell „fixen“: Erzeugt Drift und macht den Betrieb langfristig teurer.
• Nur Ping testen: Standard-Pings sind klein; sie beweisen nicht, dass große Pakete funktionieren.

Checkliste: Fragmentierung und PMTUD Blackholes in VPNs sauber beheben

• Symptom prüfen: Funktionieren kleine Pakete, aber große nicht? Dann MTU/PMTUD verdächtig.
• Overhead einrechnen: Welche Encapsulation-Layer sind aktiv (IPSec, NAT-T, GRE, TLS)?
• MSS-Clamping aktivieren: TCP-Segmente so begrenzen, dass nach Kapselung nichts oversized ist.
• MTU standardisieren: Konservative Tunnel-MTU pro Profil, konsistent über Regionen und Gateways.
• PMTUD ermöglichen: ICMP/ICMPv6 für PMTUD gezielt erlauben, statt pauschal zu blocken.
• Captures nutzen: Zwei-Punkt-Capture (Client + Gateway), Retransmits und fehlendes ICMP nachweisen.
• Failover testen: Prüfen, ob nach Umschaltung die effektive MTU anders ist.
• Monitoring ergänzen: Retransmits, Fragmentation-Indikatoren, große Payload-Synthetics als Frühwarnsystem.

Wenn Sie MTU/MSS als integralen Bestandteil Ihrer VPN-Blueprints behandeln, verschwinden viele der „mysteriösen“ Fehlerklassen dauerhaft: weniger Ticketflut, stabilere Remote-Access-Erfahrung, weniger sporadische Timeouts und eine deutlich schnellere Root-Cause-Findung. Der Schlüssel ist, PMTUD Blackholes nicht zu akzeptieren, sondern sie systematisch zu verhindern – durch konsistente MTU-Profile, MSS-Clamping und gezielte ICMP-Freigaben nach den Grundprinzipien aus RFC 1191 und RFC 8201.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.