VPN MSS
Nieprawidłowa wartość WAN MTU oraz niedostosowana wartość VPN MSS mogą przyczyniać się do problemów z transmisją danych przez VPN.
MTU (Maximum Transmit Unit) oznacza rozmiar maksymalnego pakietu (warstwa 3 modelu OSI), który można przesłać.
MSS (Maximum Segment Size) oznacza rozmiar maksymalnego segmentu (warstwa 4 modelu OSI), który można przesłać w pojedynczym pakiecie.
Pakiet standardowy:
MTU = nagłówek IP + nagłówek TCP + MSS
1500 = 20 + 20 + 1460
Pakiet VPN:
MTU = nagłówki VPN + nagłówek IP + nagłówek TCP + MSS
Domyślne ustawienia WAN MTU 1500 oraz VPN MSS 1360 zapewniają 100B na nagłówki VPN.
Przykład 1: VPN LAN-LAN
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IPsec IKEv1/IKEv2 (AES256 SHA256): 68B
– IPsec IKEv1/IKEv2 (AES128 SHA1): 64B
Przykład 2: VPN Host-LAN z Windows
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IKEv2 EAP (AES256 SHA256): 76B
– IKEv2 EAP (AES128 SHA1): 72B
– L2TP over IPsec (AES256 SHA256): 92B
– L2TP over IPsec (AES128 SHA1): 88B
– PPTP (MPPE): 44B
Jeśli WAN MTU:
– wynosi 1480~1492 to powinieneÅ› zmniejszyć wartość VPN MSS dla L2TP over IPsec
– wynosi poniżej 1480 to powinieneÅ› zmniejszyć wartość VPN MSS również dla pozostaÅ‚ych protokołów VPN
WebUI
W nowszych routerach/wersjach firmware ustawienia VPN TCP MSS dostępne w WebUI.
Przejdź do zakładki VPN and Remote Access >> PPP General Setup, aby zmienić VPN TCP MSS dla PPTP, L2TP, SSL VPN.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup, aby zmienić VPN TCP MSS dla IPsec (IKEv1/IKEv2), L2TP over IPsec, GRE over IPsec.
CLI
W starszych routerach/wersjach firmware ustawienia VPN TCP MSS dostępne tylko w CLI.
Użyj polecenia “vpn mss ?” aby sprawdzić użycie polecenia.
Użyj polecenia “vpn mss show” aby sprawdzić aktualne wartoÅ›ci MSS dla VPN.
Domyślne wartości wynoszą:
PPTP = 1360
L2TP = 1360
IPsec = 1360
L2TP over IPsec = 1360
GRE over IPsec = 1360
SSL Tunnel = 1260
PrzykÅ‚adowe zmniejszenie MSS dla IPsec do wartoÅ›ci 1260: “vpn mss set 3 1260”
