Ein häufiges Problem bei Remote-Access-VPNs ist, dass „nur manche Apps gehen“ – bestimmte Anwendungen funktionieren, während andere blockiert scheinen. Ursachen liegen oft in MTU- und MSS-Einstellungen oder Path Issues wie Fragmentierung, VPN-Encapsulation oder Firewall-Einstellungen. Dieses Tutorial zeigt praxisnah, wie MTU, MSS und Path-Probleme erkannt, analysiert und behoben werden können, um die Stabilität aller Anwendungen über den Tunnel zu gewährleisten.
MTU und MSS Grundlagen
MTU (Maximum Transmission Unit) definiert die maximale Paketgröße auf einem Interface, während MSS (Maximum Segment Size) die maximale TCP-Segmentgröße beschreibt. In VPN-Szenarien reduziert die Tunnel-Encapsulation die effektive MTU, was zu Fragmentierung oder Blockierung bestimmter Apps führen kann.
Typische Symptome
- Web-Browsing funktioniert, größere Downloads oder VPN-gestützte Anwendungen nicht
- ICMP-Pakete funktionieren, TCP-Verbindungen brechen ab
- Fragmentierungsfehlermeldungen in Logs
- Intermittierende Verbindungsabbrüche bei bestimmten Services
Path MTU Discovery und MSS Clamping
Path MTU Discovery (PMTUD) erkennt automatisch die maximale Paketgröße auf dem Pfad. MSS Clamping passt die TCP-Segmentgröße an, um Fragmentierung im Tunnel zu vermeiden.
Beispiel MSS Clamping auf Cisco ASA
policy-map global_policy
class class-default
set connection advanced-options tcp-mss 1350
service-policy global_policy global
Tipps
- MSS kleiner als Tunnel-MTU minus Encapsulation-Overhead wählen
- Fragmentierung vermeiden, um Paketverlust zu reduzieren
- Überwachung von TCP Retransmits zur Identifikation von MSS-Problemen
MTU auf Interfaces prüfen und anpassen
Eine falsche MTU-Einstellung auf Client, Gateway oder VPN-Tunnel kann bestimmte Apps blockieren. Prüfen Sie die MTU auf allen beteiligten Interfaces und passen Sie diese an die Tunnel-Overhead an.
Beispiel CLI Checks
show interface GigabitEthernet0/1
ping 8.8.8.8 size 1400 df-bit
ip mtu 1400
Path Issues und Fragmentierung erkennen
Path Issues entstehen durch VPN-Tunnel, NAT, Firewalls oder ISP-Fragmentierung. PMTUD-Probleme zeigen sich, wenn ICMP-Pakete blockiert werden oder bestimmte Anwendungen keine großen Pakete senden können.
Diagnosemethoden
- Ping mit DF-Bit und variabler Paketgröße
- Traceroute zur Analyse von MTU-Engpässen
- TCPDump/Wireshark zur Überwachung von Retransmits und Fragmentierung
- Logs von Firewall oder VPN-Gateway auf Fragmentierungswarnungen prüfen
Beispiel Ping-Test
ping 10.20.0.1 df-bit size 1400
ping 10.20.0.1 df-bit size 1300
NAT- und Firewall-Fragmentierungsprobleme
Manche Firewalls oder NAT-Geräte blockieren fragmentierte Pakete. Prüfen Sie NAT- und Firewall-Regeln und passen Sie MTU/MSS entsprechend an.
Beispiel CLI Checks
show nat
show access-list
show conn
show log | include "fragment"
Monitoring und Performance-Metriken
Kontinuierliches Monitoring unterstützt die Identifikation von MTU/MSS- oder Path-Problemen und die Optimierung der Remote-Access-Performance.
Empfohlene Metriken
- TCP Retransmits pro Tunnel
- Fragmentierte Pakete
- Durchsatz und Latenz für unterschiedliche Apps
- Peak Concurrent Users und Tunnel-Auslastung
- ICMP/Traceroute-Ergebnisse auf MTU-Probleme
Beispiel CLI Monitoring Cisco ASA
show conn detail
show vpn-sessiondb detail
show interface
show log | include "fragment"
Subnetz- und IP-Planung
Eine strukturierte IP-Planung reduziert Konflikte und erleichtert die Fehlerdiagnose bei MTU- oder Path-Problemen.
Beispiel Subnetzplanung
Remote VPN Clients: 10.10.10.0/24
Corporate Resources: 10.20.0.0/24
Internet Traffic via NAT: 203.0.113.10/30
Management: 10.30.10.0/24
Subnetzberechnung für Concurrent Users
Beispiel: 250 gleichzeitige VPN-User
Best Practices MTU/MSS Troubleshooting
- MTU auf Client, Gateway und Tunnel prüfen und anpassen
- MSS Clamping für TCP-Verbindungen setzen
- Path MTU Discovery testen und ICMP erlauben
- Firewall/NAT-Regeln auf Fragmentierung prüfen
- Monitoring von TCP Retransmits und Packet Loss
- Testen verschiedener Paketgrößen zur Lokalisierung von Engpässen
- Dokumentation der MTU/MSS-Werte und Policies
- Subnetzplanung zur einfachen Identifikation von Routing- oder Overlap-Problemen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
