“Nur manche Apps gehen”: MTU, MSS und Path Issues erkennen

Ein häufiges Problem bei Remote-Access-VPNs ist, dass „nur manche Apps gehen“ – bestimmte Anwendungen funktionieren, während andere blockiert scheinen. Ursachen liegen oft in MTU- und MSS-Einstellungen oder Path Issues wie Fragmentierung, VPN-Encapsulation oder Firewall-Einstellungen. Dieses Tutorial zeigt praxisnah, wie MTU, MSS und Path-Probleme erkannt, analysiert und behoben werden können, um die Stabilität aller Anwendungen über den Tunnel zu gewährleisten.

MTU und MSS Grundlagen

MTU (Maximum Transmission Unit) definiert die maximale Paketgröße auf einem Interface, während MSS (Maximum Segment Size) die maximale TCP-Segmentgröße beschreibt. In VPN-Szenarien reduziert die Tunnel-Encapsulation die effektive MTU, was zu Fragmentierung oder Blockierung bestimmter Apps führen kann.

Typische Symptome

• Web-Browsing funktioniert, größere Downloads oder VPN-gestützte Anwendungen nicht
• ICMP-Pakete funktionieren, TCP-Verbindungen brechen ab
• Fragmentierungsfehlermeldungen in Logs
• Intermittierende Verbindungsabbrüche bei bestimmten Services

Path MTU Discovery und MSS Clamping

Path MTU Discovery (PMTUD) erkennt automatisch die maximale Paketgröße auf dem Pfad. MSS Clamping passt die TCP-Segmentgröße an, um Fragmentierung im Tunnel zu vermeiden.

Beispiel MSS Clamping auf Cisco ASA

policy-map global_policy
 class class-default
  set connection advanced-options tcp-mss 1350
service-policy global_policy global

Tipps

• MSS kleiner als Tunnel-MTU minus Encapsulation-Overhead wählen
• Fragmentierung vermeiden, um Paketverlust zu reduzieren
• Überwachung von TCP Retransmits zur Identifikation von MSS-Problemen

MTU auf Interfaces prüfen und anpassen

Eine falsche MTU-Einstellung auf Client, Gateway oder VPN-Tunnel kann bestimmte Apps blockieren. Prüfen Sie die MTU auf allen beteiligten Interfaces und passen Sie diese an die Tunnel-Overhead an.

Beispiel CLI Checks

show interface GigabitEthernet0/1
ping 8.8.8.8 size 1400 df-bit
ip mtu 1400

Path Issues und Fragmentierung erkennen

Path Issues entstehen durch VPN-Tunnel, NAT, Firewalls oder ISP-Fragmentierung. PMTUD-Probleme zeigen sich, wenn ICMP-Pakete blockiert werden oder bestimmte Anwendungen keine großen Pakete senden können.

Diagnosemethoden

• Ping mit DF-Bit und variabler Paketgröße
• Traceroute zur Analyse von MTU-Engpässen
• TCPDump/Wireshark zur Überwachung von Retransmits und Fragmentierung
• Logs von Firewall oder VPN-Gateway auf Fragmentierungswarnungen prüfen

Beispiel Ping-Test

ping 10.20.0.1 df-bit size 1400
ping 10.20.0.1 df-bit size 1300

NAT- und Firewall-Fragmentierungsprobleme

Manche Firewalls oder NAT-Geräte blockieren fragmentierte Pakete. Prüfen Sie NAT- und Firewall-Regeln und passen Sie MTU/MSS entsprechend an.

Beispiel CLI Checks

show nat
show access-list
show conn
show log | include "fragment"

Monitoring und Performance-Metriken

Kontinuierliches Monitoring unterstützt die Identifikation von MTU/MSS- oder Path-Problemen und die Optimierung der Remote-Access-Performance.

Empfohlene Metriken

• TCP Retransmits pro Tunnel
• Fragmentierte Pakete
• Durchsatz und Latenz für unterschiedliche Apps
• Peak Concurrent Users und Tunnel-Auslastung
• ICMP/Traceroute-Ergebnisse auf MTU-Probleme

Beispiel CLI Monitoring Cisco ASA

show conn detail
show vpn-sessiondb detail
show interface
show log | include "fragment"

Subnetz- und IP-Planung

Eine strukturierte IP-Planung reduziert Konflikte und erleichtert die Fehlerdiagnose bei MTU- oder Path-Problemen.

Beispiel Subnetzplanung

Remote VPN Clients: 10.10.10.0/24
Corporate Resources: 10.20.0.0/24
Internet Traffic via NAT: 203.0.113.10/30
Management: 10.30.10.0/24

Subnetzberechnung für Concurrent Users

Beispiel: 250 gleichzeitige VPN-User

Hosts = 250, BenötigteIPs = 250 + 2 = 252
2^n ge 252
n = 8 → 256 IPs (/24)

Best Practices MTU/MSS Troubleshooting

• MTU auf Client, Gateway und Tunnel prüfen und anpassen
• MSS Clamping für TCP-Verbindungen setzen
• Path MTU Discovery testen und ICMP erlauben
• Firewall/NAT-Regeln auf Fragmentierung prüfen
• Monitoring von TCP Retransmits und Packet Loss
• Testen verschiedener Paketgrößen zur Lokalisierung von Engpässen
• Dokumentation der MTU/MSS-Werte und Policies
• Subnetzplanung zur einfachen Identifikation von Routing- oder Overlap-Problemen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.