MTU-Probleme im VPN: Warum große Pakete scheitern

MTU-Probleme im VPN gehören zu den frustrierendsten Fehlerbildern in der Praxis: Der Tunnel steht, Login klappt, manche Anwendungen funktionieren – und dennoch scheitern ausgerechnet „große Pakete“. Typische Symptome sind Webseiten, die nie vollständig laden, File-Transfers, die bei einem bestimmten Fortschritt hängen bleiben, Teams- oder Zoom-Verbindungen mit sporadischen Aussetzern oder Git-Operationen, die scheinbar zufällig abbrechen. Der Grund ist fast immer derselbe: Durch das VPN entsteht zusätzlicher Overhead, die effektive Paketgröße im Transportpfad wird kleiner, und wenn Path MTU Discovery (PMTUD) nicht sauber funktioniert, werden zu große Pakete fragmentiert oder – schlimmer – still verworfen. Das wirkt dann wie Paketverlust, DNS-Probleme oder „VPN ist langsam“, obwohl die Ursache in Wahrheit eine falsche MTU/MSS-Strategie ist. Dieser Artikel erklärt verständlich, warum große Pakete im VPN scheitern, wie MTU, MSS und PMTUD zusammenhängen und wie Sie MTU-Probleme sauber testen, lokalisieren und dauerhaft beheben – ohne Sicherheitskompromisse.

MTU einfach erklärt: Was ist das überhaupt?

MTU steht für Maximum Transmission Unit und beschreibt die maximale Größe eines IP-Pakets (genauer: die maximale Payload auf Layer 2), die ein Link ohne Fragmentierung übertragen kann. In klassischen Ethernet-Netzen ist die MTU häufig 1500 Byte. Sobald Pakete größer sind als die MTU eines Links, gibt es zwei Möglichkeiten:

• Fragmentierung: Das Paket wird in kleinere Teile zerlegt, die separat übertragen werden.
• Drop: Das Paket wird verworfen, wenn Fragmentierung nicht möglich oder nicht erlaubt ist.

In modernen Netzen ist „Fragmentierung irgendwo im Pfad“ jedoch oft unerwünscht oder technisch nicht zuverlässig. Deshalb soll der Sender idealerweise die passende Paketgröße kennen – und genau dafür existiert PMTUD.

Warum VPNs MTU-Probleme verursachen: Overhead macht Pakete größer

Ein VPN ist ein Tunnel: Ihr ursprüngliches Paket wird (je nach Protokoll) in ein neues Paket „eingepackt“ und zusätzlich verschlüsselt. Dabei kommen Header und ggf. Trailer hinzu. Das bedeutet: Selbst wenn das Originalpaket genau 1500 Byte groß war, kann das äußere (encapsulierte) Paket größer werden – und damit auf Links mit MTU 1500 scheitern.

• IPsec: zusätzlicher Overhead durch ESP/AH, neue IP-Header, ggf. NAT-T (UDP-Encapsulation).
• TLS-/SSL-VPN: Overhead durch TLS/DTLS plus Tunnel-Header.
• Zusätzliche Layer: PPPoE (häufig bei DSL), VLAN-Tags, Provider-Tunnel erhöhen die Wahrscheinlichkeit, dass MTU kleiner als 1500 ist.

Technische Grundlagen zu IPsec finden Sie in RFC 4301 (IPsec Architecture), IKEv2 in RFC 7296 und TLS 1.3 als Basis für TLS-VPNs in RFC 8446.

„Große Pakete scheitern“: Typische Symptome von MTU-Problemen im VPN

MTU-Probleme äußern sich oft nicht als klarer Fehler, sondern als „seltsame“ Instabilität. Besonders auffällig ist: Kleine Pakete funktionieren, größere nicht.

• Webseiten laden teilweise: HTML kommt, aber Bilder/JS/CSS hängen oder laden endlos.
• Downloads brechen ab: Transfer startet, dann Timeout oder „stuck“ bei einem bestimmten Prozentwert.
• VPN funktioniert nur für manche Anwendungen: z. B. E-Mail geht, aber Fileshares nicht.
• SSH/RDP wirkt instabil: Sessions hängen, obwohl Ping stabil ist.
• Mobilfunk/Gast-WLAN besonders betroffen: weil MTU/PMTUD dort häufiger problematisch sind.

PMTUD: Warum Path MTU Discovery der Schlüssel ist

Damit Sender die richtige Paketgröße wählen, gibt es Path MTU Discovery. PMTUD versucht, die kleinste MTU auf dem gesamten Pfad zu ermitteln und die Paketgröße entsprechend anzupassen. Für IPv4 ist PMTUD in RFC 1191 beschrieben, für IPv6 in RFC 8201.

PMTUD bei IPv4: DF-Bit und ICMP „Fragmentation Needed“

Bei IPv4 setzt der Sender häufig das DF-Bit („Don’t Fragment“). Wenn ein Router im Pfad ein zu großes Paket sieht, verwirft er es und sendet eine ICMP-Meldung „Fragmentation Needed“ zurück. Der Sender reduziert daraufhin die Paketgröße. Dieses Verfahren scheitert in der Praxis oft, weil ICMP-Meldungen durch Firewalls oder Provider gefiltert werden.

PMTUD bei IPv6: Fragmentierung durch Router ist nicht vorgesehen

Bei IPv6 fragmentieren Router nicht. Das macht PMTUD dort noch wichtiger: Wenn die notwendige Information nicht zurückkommt, werden zu große Pakete verworfen. Deshalb sind IPv6-MTU-Probleme im VPN besonders „hart“ sichtbar.

Der häufigste Fehler: ICMP „blocken“ und PMTUD zerstören

In vielen Umgebungen ist „ICMP blocken“ eine alte Gewohnheit. Für MTU/PMTUD ist das jedoch gefährlich. Wenn ICMP-Fehlermeldungen, die für PMTUD relevant sind, nicht durchkommen, kann der Sender die Paketgröße nicht anpassen. Das Ergebnis sind stille Drops und Timeouts.

• Symptom: bestimmte Verbindungen hängen, obwohl VPN „up“ ist.
• Ursache: ICMP Type/Code für PMTUD wird gefiltert.
• Lösung: ICMP gezielt und kontrolliert erlauben – nicht „alles auf“, sondern die notwendigen Typen/Fehlercodes.

MSS statt MTU: Warum TCP oft die bessere Stellschraube ist

Während MTU die maximale IP-Paketgröße betrifft, ist MSS (Maximum Segment Size) ein TCP-Parameter. MSS bestimmt, wie groß ein TCP-Segment sein darf (Payload innerhalb TCP). In vielen VPN-Umgebungen ist es einfacher, MSS zu kontrollieren, weil:

• TCP ohnehin aushandelt, wie groß Segmente sein dürfen
• VPN-Gateways MSS oft automatisch anpassen können
• Sie damit Fragmentierung vermeiden, ohne jeden Client individuell zu konfigurieren

MSS-Clamping: Der Praxisstandard gegen MTU-Probleme

MSS-Clamping bedeutet, dass das Gateway die MSS in TCP-SYN-Paketen reduziert. Dadurch senden Endgeräte automatisch kleinere Segmente, die auch mit Tunnel-Overhead noch in die effektive MTU passen. MSS-Clamping ist eine der zuverlässigsten Maßnahmen, weil sie PMTUD-Probleme oft umgeht.

Wo MTU-Probleme im VPN entstehen: Die häufigsten „MTU-Fallen“

MTU-Probleme sind selten „einfach nur VPN“. Meist kommen mehrere Faktoren zusammen:

• PPPoE: viele DSL-Anschlüsse haben effektiv weniger als 1500 Byte MTU, weil PPPoE Overhead verursacht.
• VLAN/QinQ: Tags reduzieren die nutzbare Payload, wenn kein Jumbo-Frame-Design vorhanden ist.
• IPsec NAT-T: zusätzliche UDP-Encapsulation erhöht Paketgröße.
• Provider-Tunnel: MPLS/Carrier-Tunnel oder weitere Encapsulation auf Providerseite.
• Cloud-Edges: manche Cloud- oder Security-Stacks haben eigene MTU-Grenzen.
• IPv6 im Mix: wenn IPv6 aktiv ist, aber anders behandelt wird als IPv4, entstehen schwer erklärbare Unterschiede.

Diagnose: So testen Sie MTU-Probleme reproduzierbar

Das Ziel im Troubleshooting ist, die maximale nutzbare Paketgröße zu bestimmen und herauszufinden, wo sie scheitert. Wichtig: Testen Sie sowohl ohne VPN als auch mit VPN und vergleichen Sie.

Schritt 1: Baseline ohne VPN

• MTU im lokalen Netz prüfen (Client → Router, Router → Internet)
• Wenn schon ohne VPN keine großen Pakete gehen, liegt das Problem im Access-Netz (WLAN/PPPoE/Provider)

Schritt 2: Mit VPN zum Testhost hinter dem Tunnel

• Testen Sie die maximale Paketgröße zu einem Host hinter dem VPN (z. B. Monitoring-VM im internen Netz)
• Wenn nur im VPN große Pakete scheitern, ist Tunnel-Overhead + PMTUD/MSS der Hauptverdacht

Schritt 3: Packet Capture zur Bestätigung

Wenn möglich, nutzen Sie Wireshark/tcpdump. Indikatoren für MTU-Probleme sind:

• viele TCP Retransmissions ohne sichtbaren Grund
• fehlende ICMP „Fragmentation Needed“-Meldungen trotz Drops
• ICMP-Meldungen, die gesendet, aber nicht am Sender ankommen
• UDP-Pakete, die in bestimmten Größen nicht ankommen

Behebung: Welche Maßnahmen wirken in der Praxis am zuverlässigsten?

Es gibt nicht „die eine“ Lösung, aber diese Reihenfolge funktioniert in vielen Umgebungen sehr gut.

1) MSS-Clamping aktivieren

• Reduziert TCP-Segmentgrößen automatisch
• Sehr wirksam gegen „Webseiten hängen“ und File-Transfer-Probleme
• Oft die schnellste Lösung, weil keine Client-Änderungen nötig sind

2) Tunnel-MTU bewusst setzen

• Setzen Sie eine konservative MTU für den Tunnel, wenn Ihr Produkt das unterstützt
• Dokumentieren Sie die Entscheidung und testen Sie über typische Access-Netze (DSL, LTE, Gast-WLAN)

3) PMTUD ermöglichen: ICMP gezielt zulassen

• Erlauben Sie PMTUD-relevante ICMP-Fehler kontrolliert
• Vermeiden Sie pauschales „ICMP komplett blocken“

4) IPv6-Strategie klären

• Wenn IPv6 aktiv ist, prüfen Sie, ob der VPN-Tunnel IPv6 korrekt behandelt
• Falls nicht: IPv6 bewusst tunneln oder kontrolliert einschränken, um Leaks und Drops zu vermeiden

5) Overhead reduzieren, wo möglich

• Unnötige zusätzliche Encapsulation vermeiden
• Bei Cloud-/Edge-Designs prüfen, ob ein anderer Terminierungspunkt die effektive MTU verbessert

MTU-Probleme vs. Paketverlust: So unterscheiden Sie beides

MTU-Probleme wirken wie Paketverlust – aber nicht jede Loss-Rate ist MTU. Ein einfacher Praxisunterschied:

• MTU-Probleme: Loss tritt oft ab einer bestimmten Paketgröße auf (Schwelleneffekt).
• „Echter“ Paketverlust: Loss ist eher zufällig verteilt und hängt stärker von Last, WLAN-Qualität oder Provider ab.

Wenn Sie z. B. kleine Pings stabil durchbekommen, aber größere Pings oder große TCP-Segmente „hängen“, ist MTU/MSS sehr wahrscheinlich.

Warum MTU-Probleme besonders oft bei Remote Work auftreten

Homeoffice und mobile Netze erhöhen die Varianz der MTU: PPPoE, Consumer-Router, Mesh-Systeme, Mobilfunk, Hotel-WLANs und restriktive Firewalls sind eine Mischung, in der PMTUD häufig scheitert. Deshalb ist eine robuste MTU/MSS-Strategie gerade bei Remote Access essenziell – idealerweise mit MSS-Clamping als Standard und klaren Testszenarien.

Best Practices: MTU-Probleme dauerhaft vermeiden

• MSS-Clamping standardisieren: besonders für Remote Access und IPsec NAT-T.
• PMTUD nicht sabotieren: ICMP gezielt zulassen, keine pauschalen Blockaden.
• Testprofile definieren: DSL/PPPoE, LTE/5G, Gast-WLAN, internationales Routing.
• Monitoring: Retransmits, Drops, Fragmentierung und „Tunnel up/no traffic“-Muster überwachen.
• Dokumentation: MTU-/MSS-Werte, Gründe, Testresultate, Change-Historie.

Häufige Fehler bei der MTU-Fehlerbehebung

• Nur an der Client-MTU drehen: bringt oft wenig, wenn der Pfad dynamisch ist; besser: MSS-Clamping + PMTUD.
• ICMP pauschal blocken: PMTUD bricht, Probleme bleiben „mysteriös“.
• Nur mit Ping testen: ergänzen Sie Tests mit realem TCP/HTTPS-Verkehr und Captures.
• IPv6 ignorieren: IPv6 kann parallel laufen und andere MTU-Eigenschaften haben.
• Änderungen ohne Vergleich: immer Baseline vorher/nachher messen, sonst bleibt Ursache unklar.

Weiterführende Quellen (Outbound-Links)

• RFC 1191: Path MTU Discovery (IPv4)
• RFC 8201: Path MTU Discovery (IPv6)
• RFC 4301: IPsec Architecture
• RFC 7296: IKEv2
• RFC 8446: TLS 1.3
• iperf3: Messung von TCP/UDP Throughput und Verhalten unter Last

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.