VPN MSS

Nieprawidłowa wartość WAN MTU oraz niedostosowana wartość VPN MSS mogą przyczyniać się do problemów z transmisją danych przez VPN.

MTU (Maximum Transmit Unit) oznacza rozmiar maksymalnego pakietu (warstwa 3 modelu OSI), który można przesłać.
MSS (Maximum Segment Size) oznacza rozmiar maksymalnego segmentu (warstwa 4 modelu OSI), który można przesłać w pojedynczym pakiecie.

Pakiet standardowy:

MTU = nagłówek IP + nagłówek TCP + MSS
1500 = 20 + 20 + 1460

Pakiet VPN:

MTU = nagłówki VPN + nagłówek IP + nagłówek TCP + MSS

Domyślne ustawienia WAN MTU 1500 oraz VPN MSS 1360 zapewniają 100B na nagłówki VPN.

Przykład 1: VPN LAN-LAN
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IPsec IKEv1/IKEv2 (AES256 SHA256): 68B
– IPsec IKEv1/IKEv2 (AES128 SHA1): 64B

Przykład 2: VPN Host-LAN z Windows
przy transmisji pakietu 1400B przez tunel nagłówki VPN wynoszą:
– IKEv2 EAP (AES256 SHA1): 72B
– L2TP over IPsec (AES256 SHA1): 88B
– PPTP (MPPE): 44B

Jeśli WAN MTU:
– wynosi 1480~1492 to powinieneś zmniejszyć wartość VPN MSS dla L2TP over IPsec
– wynosi poniżej 1480 to powinieneś zmniejszyć wartość VPN MSS również dla pozostałych protokołów VPN

Użyj polecenia „vpn mss ?” aby sprawdzić użycie polecenia.
Użyj polecenia „vpn mss show” aby sprawdzić aktualne wartości MSS dla VPN.
Domyślne wartości wynoszą:
PPTP = 1360
L2TP = 1360
IPsec = 1360
L2TP over IPsec = 1360
GRE over IPsec = 1360
SSL Tunnel = 1260

Przykładowe zmniejszenie MSS dla IPsec do wartości 1260: „vpn mss set 3 1260”