MTU- (Maximum Transmission Unit) und MSS-Probleme treten in Web- und Netzwerk-Stacks häufig auf, wenn nur bestimmte Clients Timeouts oder Verbindungsabbrüche erleben. Diese Probleme entstehen typischerweise durch Fragmentierung, Path MTU Discovery (PMTUD) oder falsch konfigurierte Netzwerkgeräte. In diesem Artikel erklären wir, wie MTU und MSS funktionieren, welche Auswirkungen sie auf Web-Stacks haben und wie Sie Probleme gezielt diagnostizieren und beheben können.

Grundlagen: MTU und MSS

Die MTU definiert die maximale Paketgröße, die ein Netzwerksegment ohne Fragmentierung übertragen kann. MSS (Maximum Segment Size) hingegen beschreibt die maximale TCP-Datenmenge in einem Segment, die vom Host gesendet werden darf, ohne Fragmentierung auszulösen.

Zusammenhang zwischen MTU und MSS

• MSS = MTU – TCP/IP Header (typisch 40 Bytes für IPv4, 60 Bytes für IPv6)
• Falsche MSS-Werte können zu Fragmentierung oder verlorenen Paketen führen
• Path MTU Discovery (PMTUD) sollte automatisch die richtige MSS ermitteln

Typische Symptome von MTU/MSS-Problemen

Probleme treten oft sporadisch auf und betreffen nur bestimmte Clients, Netzwerke oder Pfade:

• Timeouts bei HTTP/HTTPS-Requests nur von bestimmten Standorten
• Große Downloads hängen oder brechen ab
• Verbindungen über VPN oder bestimmte Provider instabil
• Fragmentierte Pakete werden verworfen, ICMP “Fragmentation Needed” wird blockiert

Diagnose: MTU-Probleme erkennen

Ping mit Packet Size testen

Die einfachste Methode, die PMTU zu testen, ist der Ping mit der Don’t Fragment-Option:

# Linux
ping -M do -s 1472 example.com
Windows
ping -f -l 1472 example.com

Hier gilt: Paketgröße + 28 Bytes (IPv4 Header) = MTU. Wenn das Paket fragmentiert wird oder verloren geht, muss die MTU reduziert werden.

Traceroute und Path MTU Discovery

Mit traceroute oder tracepath kann geprüft werden, auf welchem Hop die MTU eingeschränkt wird:

# Linux
tracepath example.com

Analyse von TCP Retransmits

Hohe Retransmits bei großen Paketen können auf MTU/MSS Probleme hinweisen. Tools:

ss -s
netstat -s | grep retrans
tcpdump -i eth0 'tcp and host example.com'

Ursachen für selektive Timeouts

Falsche PMTU Discovery

• ICMP “Fragmentation Needed” wird durch Firewalls oder ISPs blockiert
• Clients erhalten keine Rückmeldung und senden große Pakete wiederholt
• Resultat: Timeouts oder lange Ladezeiten

VPN oder Tunnel

• VPNs reduzieren oft die effektive MTU
• MSS-Clamping auf VPN-Gateways kann notwendig sein

Fragmentierung im Netzwerk

• Manche Netzwerke fragmentieren Pakete, andere verwerfen sie
• Fragmentierte Pakete werden häufig durch NAT oder Load Balancer blockiert

Praktische Lösungsansätze

Serverseitige MSS-Anpassung

• Nginx Beispiel: TCP MSS clamping

server {
    listen 443 ssl;
    tcp_nopush on;
    proxy_tcp_nodelay on;
}

Alternative: IP-MSS auf Firewall oder Router setzen:

# Linux iptables
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Client-seitige Anpassung

• VPN Clients: MSS auf 1350–1400 setzen
• Mobile Netzwerke: PMTUD unterstützen, ICMP nicht blockieren

Fragmentierung vermeiden

• Größere Pakete aufteilen (z.B. HTTP Range Requests)
• Keep-Alive und Compression nutzen, um Paketgrößen zu reduzieren

Monitoring & Alerting

Kontinuierliches Monitoring hilft, selektive MTU-Probleme frühzeitig zu erkennen:

• TCP Retransmits und Timeouts in Prometheus erfassen
• Grafana Dashboard für RTT, Packet Loss und Retransmits pro Client-Region
• Alerts bei plötzlichen Paketverlusten oder hohen Retransmits

Praxisbeispiel: Nginx hinter Firewall

# Nginx Listen & TCP Options
worker_processes auto;
worker_connections 8192;
listen 443 ssl backlog=2048;
tcp_nopush on;
tcp_nodelay on;
Firewall TCP MSS Clamping
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Fazit

MTU- und MSS-Probleme zeigen sich oft nur bei bestimmten Clients oder Netzwerken. Mit systematischem Testen (Ping, tracepath), Monitoring von Retransmits und gezieltem Clamping oder Fragmentierungsmanagement lassen sich Timeouts minimieren. Die Kombination aus Server-, Netzwerk- und Client-Maßnahmen sorgt für stabile Verbindungen und eine konsistente User-Experience.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.