VPN MSS

Nieprawidłowa wartość WAN MTU oraz niedostosowana wartość VPN MSS mogą przyczyniać się do problemów z transmisją danych przez VPN.

MTU (Maximum Transmit Unit) oznacza rozmiar maksymalnego pakietu (warstwa 3 modelu OSI), który można przesłać.
MSS (Maximum Segment Size) oznacza rozmiar maksymalnego segmentu (warstwa 4 modelu OSI), który można przesłać w pojedynczym pakiecie.

Pakiet standardowy:

MTU = nagłówek IP + nagłówek TCP + MSS
1500 = 20 + 20 + 1460

Pakiet VPN:

MTU = nagłówki VPN + nagłówek IP + nagłówek TCP + MSS

Domyślne ustawienia WAN MTU 1500 oraz VPN MSS 1360 zapewniają 100B na nagłówki VPN.

Przykład 1: VPN LAN-LAN
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IPsec IKEv1/IKEv2 (AES256 SHA256): 68B
– IPsec IKEv1/IKEv2 (AES128 SHA1): 64B

Przykład 2: VPN Host-LAN z Windows
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IKEv2 EAP (AES256 SHA256): 76B
– IKEv2 EAP (AES128 SHA1): 72B
– L2TP over IPsec (AES256 SHA256): 92B
– L2TP over IPsec (AES128 SHA1): 88B
– PPTP (MPPE): 44B

Jeśli WAN MTU:
– wynosi 1480~1492 to powinieneś zmniejszyć wartość VPN MSS dla L2TP over IPsec
– wynosi poniżej 1480 to powinieneś zmniejszyć wartość VPN MSS również dla pozostałych protokołów VPN

WebUI
W nowszych routerach/wersjach firmware ustawienia VPN TCP MSS dostępne w WebUI.
Przejdź do zakładki VPN and Remote Access >> PPP General Setup, aby zmienić VPN TCP MSS dla PPTP, L2TP, SSL VPN.
Przejdź do zakładki VPN and Remote Access >> IPsec General Setup, aby zmienić VPN TCP MSS dla IPsec (IKEv1/IKEv2), L2TP over IPsec, GRE over IPsec.
CLI
W starszych routerach/wersjach firmware ustawienia VPN TCP MSS dostępne tylko w CLI.
Użyj polecenia „vpn mss ?” aby sprawdzić użycie polecenia.
Użyj polecenia „vpn mss show” aby sprawdzić aktualne wartości MSS dla VPN.
Domyślne wartości wynoszą:
PPTP = 1360
L2TP = 1360
IPsec = 1360
L2TP over IPsec = 1360
GRE over IPsec = 1360
SSL Tunnel = 1260

Przykładowe zmniejszenie MSS dla IPsec do wartości 1260: „vpn mss set 3 1260”