MTU-Probleme: Path MTU Discovery und Fragmentierung erklärt

MTU-Probleme gehören zu den tückischsten Fehlerbildern in IT-Netzwerken, weil sie selten wie ein „klassischer Ausfall“ aussehen. Häufig funktioniert „das meiste“: kleine Webseiten laden, Ping geht, DNS löst auf – aber bestimmte Anwendungen hängen, große Uploads brechen ab, VPN-Verbindungen wirken instabil oder einzelne Cloud-Services timeouten scheinbar zufällig. Der Grund liegt oft in einer falsch gesetzten Maximum Transmission Unit (MTU) oder in einer gestörten Path MTU Discovery (PMTUD). Besonders in Umgebungen mit Tunneln (VPN, GRE, IPsec, WireGuard), PPPoE, SD-WAN, VLAN-Overlays oder Cloud-Interconnects wird die effektive Nutzdaten-Größe kleiner, weil zusätzliche Header Platz verbrauchen. Wenn Sender und Pfad nicht sauber erkennen, wie groß Pakete maximal sein dürfen, entstehen Fragmentierung, Paketverluste oder sogenannte PMTUD-Blackholes. In diesem Artikel lernen Sie verständlich und praxisnah, wie MTU, PMTUD und Fragmentierung funktionieren, welche Symptome typisch sind, wie Sie MTU-Probleme sauber nachweisen und welche Fixes in der Praxis wirklich helfen – vom Client bis zur Cloud.

MTU in der Praxis: Was bedeutet Maximum Transmission Unit?

Die MTU ist die maximale Größe eines Frames/Pakets, das über ein bestimmtes Medium ohne Fragmentierung übertragen werden kann. In Ethernet-Netzen ist eine MTU von 1500 Byte der verbreitete Standard für IP-Pakete (Payload ohne Ethernet-Header). Sobald jedoch zusätzliche Encapsulation ins Spiel kommt – etwa bei PPPoE oder Tunneln – sinkt die effektive Größe, die ohne Fragmentierung durch den Pfad passt. Wichtig ist dabei die Unterscheidung:

• Layer-2 MTU (Ethernet Frame): betrifft die maximale Framegröße auf dem Link.
• IP MTU (Layer 3): betrifft die maximale IP-Paketgröße, die ohne Fragmentierung durchpasst.
• TCP MSS (Layer 4): maximale TCP-Nutzdaten pro Segment (MSS = MTU minus IP- und TCP-Header).

Wer MTU-Probleme lösen will, muss nicht jedes Header-Byte auswendig können, sollte aber verstehen: Jeder zusätzliche Header reduziert die „Platzreserve“ für Nutzdaten. Wird diese Reserve überschritten, muss fragmentiert werden (IPv4) oder das Paket wird verworfen (häufig bei IPv6 oder bei IPv4 mit DF-Bit).

Fragmentierung: Warum sie existiert und warum sie trotzdem problematisch ist

Fragmentierung bedeutet, dass ein zu großes IP-Paket in kleinere Fragmente zerlegt wird, damit es über einen Link mit kleinerer MTU übertragen werden kann. Bei IPv4 kann ein Router (je nach DF-Flag) fragmentieren; der Empfänger setzt die Fragmente wieder zusammen. In der Theorie klingt das praktisch, in der Praxis ist Fragmentierung oft ungünstig:

• Performance: Fragmentierung und Reassembly kosten Ressourcen und erhöhen Latenz.
• Verlustanfälligkeit: Geht ein Fragment verloren, ist meist das gesamte Originalpaket unbrauchbar.
• Firewall-/NAT-Komplexität: Fragmente können Security-Devices belasten oder falsch behandelt werden.
• Debugging-Hölle: Symptome sind oft „nur manche Dinge gehen“.

In modernen Netzen ist das Ziel daher meist: Fragmentierung vermeiden, indem Sender die richtige Paketgröße wählen – genau dafür ist PMTUD gedacht.

Path MTU Discovery: Wie der Sender die richtige Paketgröße findet

Path MTU Discovery (PMTUD) ist ein Verfahren, mit dem ein Sender die kleinste MTU entlang des gesamten Pfads zum Ziel ermittelt (die „Path MTU“). Das Prinzip ist einfach: Der Sender versucht, Pakete zu senden, die nicht fragmentiert werden sollen. Wenn ein Router unterwegs merkt, dass das Paket zu groß für den nächsten Link ist, verwirft er es (oder kann es nicht weiterleiten) und informiert den Sender mit einer ICMP-Meldung „Fragmentation Needed“ (IPv4) bzw. „Packet Too Big“ (IPv6). Der Sender reduziert daraufhin die Paketgröße und versucht es erneut. Genau dieser Rückkanal ist der kritische Punkt: Wenn ICMP-Meldungen gefiltert werden, funktioniert PMTUD nicht zuverlässig.

• IPv4: PMTUD nutzt typischerweise das DF-Bit (Don’t Fragment) und ICMP „Fragmentation Needed“.
• IPv6: Router fragmentieren nicht; bei zu großen Paketen kommt ICMPv6 „Packet Too Big“ zurück.

Die technischen Grundlagen zu ICMP für IPv4 sind in RFC 792 (ICMP) beschrieben. Für PMTUD im IPv4-Kontext ist RFC 1191 (Path MTU Discovery) eine passende Referenz.

Der Klassiker: PMTUD-Blackhole – wenn ICMP „zu gut“ gefiltert wird

Ein PMTUD-Blackhole entsteht, wenn ein Pfad eine kleinere MTU hat als der Sender annimmt, aber die notwendigen ICMP-Meldungen auf dem Rückweg blockiert werden. Dann sendet der Client weiterhin zu große Pakete, die irgendwo im Netz verworfen werden. Aus Nutzersicht wirkt das extrem widersprüchlich: Kleine Pakete und manche Verbindungen gehen, große Transfers hängen oder brechen ab.

• Typische Symptome: große Uploads hängen, bestimmte HTTPS-Seiten laden nur teilweise, VPN wirkt „random“ instabil.
• Typische Orte: IPsec/SSL-VPN, PPPoE, Cloud-Tunnel, MPLS/SD-WAN mit Encapsulation.
• Typische Ursache: ICMP wird pauschal geblockt („ICMP ist böse“), obwohl PMTUD es braucht.

Eine häufige Abhilfe ist MSS-Clamping auf dem Tunnel-/WAN-Edge, damit TCP bereits kleinere Segmente sendet, bevor ein Blackhole entsteht.

Warum MTU-Probleme besonders oft bei VPN, PPPoE und Cloud auftreten

MTU-Probleme sind selten in einem reinen, flachen Ethernet-LAN. Sie treten besonders dort auf, wo zusätzliche Header den nutzbaren Platz reduzieren:

• PPPoE: Encapsulation reduziert die effektive MTU häufig unter 1500.
• VPN-Tunnel: IPsec, GRE, WireGuard, OpenVPN, SSL-VPN – alle fügen Header hinzu.
• Overlays: VXLAN/Geneve/ähnliche Mechanismen reduzieren die nutzbare MTU.
• Cloud-Edges und Interconnects: Providerpfade, virtuelle Appliances und Security-Inspections können MTU-Constraints haben.

Praxisregel: Sobald Sie Encapsulation im Pfad haben, sollten Sie aktiv über MTU/MSS nachdenken – nicht erst, wenn Nutzer Beschwerden melden.

Symptome: Woran Sie MTU-Probleme zuverlässig erkennen

MTU-Probleme sind typische „teilweise kaputt“-Fehler. Die wichtigsten Muster:

• Webseiten laden teilweise: HTML kommt, aber Bilder/Skripte oder Login-POSTs hängen.
• Große Dateien scheitern: Uploads in Cloud-Speicher brechen ab, SMB/HTTPS Transfers hängen.
• VPN stabil, aber Apps nicht: Tunnel steht, doch bestimmte Anwendungen funktionieren nicht oder nur langsam.
• Nur bestimmte Ziele betroffen: je nach Pfad/Peering/Cloud-Edge mit anderer effektiver MTU.
• Pings klein funktionieren, groß nicht: kleine ICMP-Pakete ok, größere mit DF scheitern.

MTU testen: Praktische Diagnose ohne Spezialtools

Der schnellste Nachweis ist ein Größen-Test mit dem DF-Bit (bei IPv4) oder ein „größer werdender Ping“ bis zum maximalen Wert. Das Ziel ist, die größte Paketgröße zu finden, die noch durchkommt, ohne fragmentiert zu werden. Wichtig: Je nach System sind die Ping-Optionen unterschiedlich, und die „Payload“-Angabe ist nicht identisch mit der IP-MTU. Trotzdem ist dieser Test als Indikator sehr wertvoll.

• Testidee: Schrittweise größere Pakete senden und beobachten, ab wann es scheitert.
• Interpretation: Wenn es ab einer Größe konstant scheitert, ist eine kleinere Path MTU wahrscheinlich.
• Vergleich: Testen Sie einmal ohne VPN und einmal mit VPN – Unterschiede sind stark verdächtig.

Für Windows-Kommandos und Optionen ist die offizielle Referenz hilfreich: Microsoft-Dokumentation zu ping.

MTU vs. MSS: Warum MSS-Clamping oft der pragmatischste Fix ist

In vielen Unternehmensumgebungen ist es organisatorisch schwierig, überall die perfekte MTU zu setzen: Clients, WLAN, Switches, Router, Firewalls, VPN-Gateways, Cloud-Tunnel – zu viele Komponenten. Deshalb wird häufig MSS-Clamping eingesetzt: Ein Edge-Gerät (typischerweise Firewall/VPN-Gateway) passt die TCP MSS in SYN-Paketen an, sodass Endgeräte automatisch kleinere TCP-Segmente verwenden. Das umgeht viele PMTUD-Probleme, weil TCP gar nicht erst zu große Segmente erzeugt.

• Vorteil: Wirkt oft sofort und zentral, ohne Client-Änderungen.
• Nachteil: Betrifft primär TCP; UDP-Anwendungen können weiterhin MTU-Probleme haben.
• Best Practice: MSS-Clamping an Tunneln/WAN-Edges sauber dokumentieren und regelmäßig überprüfen.

Für TCP-Grundlagen und Segmentierung ist RFC 9293 (TCP) eine passende Referenz.

Fragmentierung im IPv6-Kontext: Warum „ICMP blocken“ noch riskanter ist

In IPv6 fragmentieren Router nicht. Wenn ein Paket zu groß ist, kann der Router es nicht „retten“, sondern muss ICMPv6 „Packet Too Big“ senden. Wenn diese Meldung blockiert wird, ist der Pfad effektiv gebrochen – und zwar oft sehr selektiv. Deshalb ist es in IPv6-Umgebungen besonders wichtig, ICMPv6 nicht pauschal zu blockieren, sondern gezielt und policy-konform zu erlauben. Für IPv6-Grundlagen und Mechanik ist RFC 8200 (IPv6) eine solide Referenz.

Typische Root Causes: Was in der Realität meistens dahintersteckt

• VPN/SD-WAN Encapsulation ohne MTU-Anpassung: Tunnel overhead nicht berücksichtigt.
• PPPoE oder Provider-MTU kleiner als erwartet: „1500 überall“ stimmt nicht mehr.
• ICMP gefiltert: PMTUD kann nicht zurückmelden, dass Pakete zu groß sind.
• Inhomogene MTU in der Infrastruktur: z. B. ein Link mit kleiner MTU in einem ansonsten 1500er Pfad.
• Security-Devices: Firewalls/IPS/Proxies verwerfen Fragmente oder ICMP-Meldungen, oder behandeln sie anders.

Der saubere Troubleshooting-Workflow für MTU-Probleme

Der folgende Ablauf ist praxiserprobt und verhindert, dass Sie sich in Detaildiskussionen verlieren. Ziel ist, in kurzer Zeit zu beweisen: „Es ist wirklich MTU“ – und dann den richtigen Fix zu wählen.

Schritt: Symptom klassifizieren

• Geht „klein“, aber „groß“ nicht? (Uploads, große Antworten, bestimmte Seiten)
• Tritt es nur im VPN/Tunnel auf?
• Nur bestimmte Ziele oder standortweit?

Schritt: Segmentvergleich durchführen

• Test ohne VPN vs. mit VPN (wenn möglich).
• Test über LAN vs. WLAN (zur Trennung von Funkproblemen).
• Test Standort A vs. Standort B (bei Cloud- oder Providerpfaden).

Schritt: Path MTU grob ermitteln

• DF-basierter Größen-Test (IPv4) oder „größer werdender Ping“.
• Wenn ab einer Größe reproduzierbar Schluss ist: Path MTU ist kleiner als erwartet.

Schritt: ICMP/PMTUD prüfen

• Gibt es Hinweise, dass ICMP „Fragmentation Needed“ oder „Packet Too Big“ blockiert wird?
• Firewall-Policies und Logs prüfen (ohne pauschal ICMP „alles auf“ zu machen).

Schritt: Fix wählen

• Wenn Tunnel/WAN-Edge betroffen: MSS-Clamping für TCP, Tunnel-MTU korrekt setzen.
• Wenn Infrastruktur-Link betroffen: MTU konsistent machen oder betroffene Segmente anpassen.
• Wenn ICMP-Blockade: PMTUD-relevante ICMP-Typen policy-konform erlauben.

Behebung in der Praxis: Maßnahmen, die wirklich funktionieren

• Tunnel-MTU korrekt konfigurieren: Overhead berücksichtigen, Standardwerte nicht blind übernehmen.
• MSS-Clamping am Edge: TCP-Segmente verkleinern, um Blackholes zu vermeiden.
• ICMP gezielt erlauben: Nicht „alles ICMP“, sondern die benötigten Typen/Codecs für PMTUD, dokumentiert und geprüft.
• MTU-Standards definieren: Einheitliche MTU-Policy für LAN, WAN, Tunnel und Cloud-Overlays.
• Nachmessung: Vorher/Nachher-Tests mit identischen Messpunkten, um Erfolg zu belegen.

Typische Praxisfälle und schnelle Einordnung

Fall: „Bestimmte Webseiten gehen nicht, aber Internet ist da“

• Sehr häufig PMTUD-Blackhole oder MTU-Probleme im VPN/Proxy-Pfad.
• Indiz: Große Antworten/POSTs hängen, kleine Seiten gehen.
• Fix: MSS-Clamping und PMTUD-ICMP policy-konform prüfen.

Fall: „VPN verbindet, aber Dateiübertragungen brechen ab“

• Sehr häufig Tunnel-Overhead nicht berücksichtigt, MTU im Tunnel zu groß.
• Fix: Tunnel-MTU und MSS sauber konfigurieren; bei Bedarf ICMP für PMTUD zulassen.

Fall: „Nur ein Standort hat Probleme mit Cloud-Uploads“

• Sehr häufig Providerpfad/SD-WAN-Encapsulation mit anderer effektiver MTU.
• Fix: Standortpfad vergleichen, MTU/MSS am Standort-Edge anpassen, Nachweise sammeln (Zeitfenster, Tests).

Monitoring und Prävention: MTU-Probleme früh erkennen

MTU-Probleme werden oft erst sichtbar, wenn Nutzer sich melden. Das lässt sich verbessern, wenn Sie Messpunkte definieren und regelmäßig prüfen: Pfad-Latenz und Loss sind wichtig, aber auch „Connectivity unter realistischen Paketgrößen“. Zusätzlich helfen standardisierte Runbooks: Tunnel-Overhead berechnen, MTU/MSS dokumentieren, ICMP-Policies bewusst gestalten. Damit wird MTU von einem „mysteriösen Fehler“ zu einem kontrollierbaren Designparameter.

• Baselines: Standard-MTU pro Segment, Standard-MSS pro Tunnel dokumentieren.
• Change-Check: Nach VPN-/WAN-Änderungen MTU-Tests durchführen.
• Policy-Review: ICMP-Filter regelmäßig prüfen, PMTUD nicht unbeabsichtigt brechen.
• Wissensbasis: Häufige Symptome und Fixes als internes Runbook pflegen.

Checkliste: MTU-Probleme schnell erkennen und beheben

• Symptom prüfen: „klein geht, groß geht nicht“ (Uploads, große HTTPS-Antworten, VPN-Transfers).
• Vergleichstest: mit/ohne VPN, LAN vs. WLAN, Standort A vs. B.
• Path MTU grob testen: DF-basierter Größen-Test (IPv4) oder passende Testmethoden (IPv6).
• ICMP/PMTUD prüfen: Werden „Fragmentation Needed“/„Packet Too Big“ blockiert?
• Tunnel/WAN-Edge konfigurieren: MTU korrekt setzen, MSS-Clamping für TCP aktivieren (wenn sinnvoll).
• Infrastruktur konsistent machen: MTU entlang des Pfads vereinheitlichen oder bewusst designen.
• Nachmessung: Vorher/Nachher-Tests dokumentieren und Serviceverhalten verifizieren.
• Prävention: MTU/MSS-Standards und ICMP-Policy in Runbooks und Monitoring aufnehmen.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.