MTU/MSS in VPNs: PMTUD Blackholes, Fragmentierung und Fixes

In VPN-Umgebungen ist die korrekte Konfiguration von MTU (Maximum Transmission Unit) und MSS (Maximum Segment Size) entscheidend für die Stabilität und Performance. Falsche Werte führen häufig zu Fragmentierung, PMTUD-Blackholes und abgebrochenen Sessions. Dieser Leitfaden zeigt praxisnah, wie MTU und MSS in verschiedenen VPN-Szenarien korrekt gesetzt, Probleme erkannt und behoben werden können.

Grundlagen von MTU und MSS

Die MTU definiert die maximale Paketgröße, die über ein physisches Interface übertragen werden kann, während MSS die maximale Größe des TCP-Payloads angibt. In VPNs addieren sich zusätzliche Header für IPSec, GRE oder SSL-VPN, wodurch die effektive MTU für den Payload reduziert wird.

Zusammenhang MTU/MSS

Wenn die MTU zu groß ist, muss ein Paket fragmentiert werden. Bei VPNs mit IPSec oder SSL-VPN kann Fragmentierung durch Firewalls oder Tunnelgeräte problematisch sein, insbesondere wenn ICMP-Fragmentation Needed-Pakete blockiert werden. Hier hilft das MSS-Clamping, um TCP-Verbindungen auf eine sichere Payload-Größe zu begrenzen.

Fragmentierung und PMTUD Blackholes

Path MTU Discovery (PMTUD) erkennt die kleinste MTU auf dem Pfad zwischen Sender und Empfänger. Wird ICMP jedoch gefiltert, können Pakete verloren gehen, da die PMTUD-Meldungen nicht ankommen. Das führt zu sogenannten PMTUD-Blackholes.

Symptome

• TCP-Verbindungen hängen bei großen Transfers
• VPN-Tunnel bricht scheinbar grundlos ab
• Ping mit großen Paketen (ping -s 1472) schlägt fehl

MTU richtig setzen

Die MTU muss so konfiguriert werden, dass VPN-Header berücksichtigt werden. Beispiel:

Physical Interface MTU: 1500
IPSec overhead: 50-60 Byte
GRE header: 24 Byte
Adjusted MTU for VPN: 1500 - 60 - 24 = 1416

Dieser Wert wird auf dem Tunnelinterface oder in der VPN-Konfiguration gesetzt, um Fragmentierung zu vermeiden.

CLI-Beispiel: Cisco IPSec VPN

interface Tunnel0
 ip mtu 1416
 ip tcp adjust-mss 1360

Hier wird die MTU auf 1416 Byte reduziert und die MSS auf 1360 Byte angepasst, um TCP-Payloads sicher durch den Tunnel zu leiten.

MSS-Clamping

MSS-Clamping begrenzt die maximale Segmentgröße für TCP-Verbindungen und verhindert Fragmentierung, selbst wenn PMTUD-Meldungen fehlen. Dies ist besonders bei SSL-VPNs oder NAT-Umgebungen wichtig.

Beispiel für Juniper/Pulse VPN

set interfaces st0 unit 0 family inet mtu 1416
set security ipsec vpn VPN-MSS mss-clamp 1360

Die TCP-Sessions werden nun automatisch angepasst und vermeiden PMTUD-Blackholes.

Tests und Monitoring

Um MTU- oder MSS-Probleme zu erkennen, helfen folgende Tests:

• Ping mit verschiedenen Paketgrößen: ping -s 1472 remote-host
• Traceroute mit MTU-Option: traceroute -F
• TCP-Tests über VPN mit iperf: iperf3 -c remote-host -M 1360
• Firewall-Logs auf ICMP-Fehler prüfen

Prüfung der VPN-Schnittstellen

show interface Tunnel0
show crypto ipsec sa
show tcp brief

Hier können Drops durch Fragmentierung oder zu große Pakete erkannt werden.

Best Practices

• MTU am Tunnelinterface immer um VPN-Overhead reduzieren
• MSS-Clamping bei TCP-Verbindungen setzen
• ICMP-Fragmentation Needed nicht blockieren
• VPN-Tests regelmäßig mit großen Paketen durchführen
• Fragmentierung vermeiden, wann immer möglich
• Dokumentation der MTU/MSS-Werte für jede VPN-Topologie

Durch die konsequente Konfiguration von MTU und MSS lassen sich Performance-Probleme, PMTUD-Blackholes und Fragmentierungsprobleme in VPN-Umgebungen vermeiden. Dies ist sowohl für Remote-Access-VPNs als auch für Site-to-Site-Verbindungen entscheidend, um stabile und performante Verbindungen sicherzustellen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.