VPN MSS
Nieprawidłowa wartość WAN MTU oraz niedostosowana wartość VPN MSS mogą przyczyniać się do problemów z transmisją danych przez VPN.
MTU (Maximum Transmit Unit) oznacza rozmiar maksymalnego pakietu (warstwa 3 modelu OSI), który można przesłać.
MSS (Maximum Segment Size) oznacza rozmiar maksymalnego segmentu (warstwa 4 modelu OSI), który można przesłać w pojedynczym pakiecie.
Pakiet standardowy:
MTU = nagłówek IP + nagłówek TCP + MSS
1500 = 20 + 20 + 1460
Pakiet VPN:
MTU = nagłówki VPN + nagłówek IP + nagłówek TCP + MSS
Domyślne ustawienia WAN MTU 1500 oraz VPN MSS 1360 zapewniają 100B na nagłówki VPN.
Przykład 1: VPN LAN-LAN
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IPsec IKEv1/IKEv2 (AES256 SHA256): 68B
– IPsec IKEv1/IKEv2 (AES128 SHA1): 64B
Przykład 2: VPN Host-LAN z Windows
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IKEv2 EAP (AES256 SHA1): 72B
– L2TP over IPsec (AES256 SHA1): 88B
– PPTP (MPPE): 44B
Jeśli WAN MTU:
– wynosi 1480~1492 to powinieneÅ› zmniejszyć wartość VPN MSS dla L2TP over IPsec
– wynosi poniżej 1480 to powinieneÅ› zmniejszyć wartość VPN MSS również dla pozostaÅ‚ych protokołów VPN
Użyj polecenia „vpn mss ?” aby sprawdzić użycie polecenia.
Użyj polecenia „vpn mss show” aby sprawdzić aktualne wartoÅ›ci MSS dla VPN.
Domyślne wartości wynoszą:
PPTP = 1360
L2TP = 1360
IPsec = 1360
L2TP over IPsec = 1360
GRE over IPsec = 1360
SSL Tunnel = 1260
PrzykÅ‚adowe zmniejszenie MSS dla IPsec do wartoÅ›ci 1260: „vpn mss set 3 1260”
