MTU/MSS-Problem in IPsec VPN

Question

Hallo Community, 
 wir haben bei einem Kunden ein Problem mit Traffic &uuml;ber einen IPsec-Tunnel zwischen der UTM des Kunden und einer Cisco ASA des Dienstleisters (Hosted ERP). 
 Die Mitarbeiter verbinden sich via Citrix ICA-Client &uuml;ber den S2S-Tunnel zum Dienstleister. Anf&auml;nglich war garkein Verbindungsaufbau m&ouml;glich (ping funktionierte). Auf Bitten des Dienstleisters wurde dann in der UTM die MTU des WAN-Interfaces von 1500 auf 1380 reduziert. Dann konnte sich ein Client verbinden, eine zeitgleiche zweite Verbindung war jedoch nicht m&ouml;glich. 
 Der externe Dienstleister gibt uns lediglich die Info weiter, dass die Pakete fragmentiert ankommen und es daher "an der MTU liegen muss." 
 Um die maximale Paketgr&ouml;&szlig;e zu ermitteln, pinge ich von der UTM aus den Server des Dienstleisters: 
 firewall:/root # ping -s 1394 -c 10 -M do x.x.x.205 PING x.x.x..205 (x.x.x..205) 1394(1422) bytes of data. 1402 bytes from x.x.x.205: icmp_seq=1 ttl=128 time=30.6 ms 
 firewall:/root # ping -s 1395 -c 10 -M do x.x.x.205 PING x.x.x.205 (x.x.x.205) 1395(1423) bytes of data. ping: local error: Message too long, mtu=1422 
 Nach etwas Recherche hier im Forum wollte ich &uuml;ber folgenden iptables-Befehl die MSS auf 1394 setzen, in der Annahme (bzw. Hoffnung), dass mit diesem zuvor ermittelten Wert das Problem gel&ouml;st sei. Der Befehl, wie er hier zu finden ist, funktioniert aber nicht: 
 firewall:/root # iptables -I FORWARD 1 -o -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1394 Bad argument `tcp' Try `iptables -h' or 'iptables --help' for more information. firewall:/root # 
 Verstehe ich nicht - laut der iptables-manpage passt "-p tcp" als option... &Auml;u&szlig;erst seltsam. Habe im Forum hier weiter gesucht, und dabei einen weiteren Befehl gefunden - dieser wurde auch akzeptiert: 
 iptables -t mangle -I POSTROUTING -d 10.10.101.0/24 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1394 
 Mit dieser &Auml;nderung (und der default-MTU von 1500 auf dem WAN-Interface) konnte der Kunde nun immerhin zwei Citrix-Sessions parallel aufbauen, eine dritte war jedoch wiederum nicht m&ouml;glich. 
 Mir f&auml;llt leider jetzt nichts schlaues mehr dazu ein :( 
 Hinweis an dieser Stelle, bevor sich jemand &uuml;ber die MTU von 1500 auf dem WAN-Interface wundert: 
 Vor der UTM h&auml;ngt ein Telekom-Router (Digitalisierungsbox Smart) der die PPPoE-Einwahl macht. Zwischen den beiden Gateways ist ein kleines Transfer-Netz (/30) eingerichtet, statische Routen sind eingetragen, kein NAT. 
 Ich bin &uuml;ber jeden Tipp dankbar. 
 TIA 
 Robin

DouglasFoster · Answer

The MTU reduction goes on the INSIDE interface. The OUTSIDE interface stays at maximum value. This leaves room for the packet to grow by the amount of the encryption overhead without needing to be split into multiple packets. 
 You can configure the MTU from Webadmin... Interfaces and Routing... Interfaces... Edit Interface... Advanced... MTU 
 If the MTU is set correctly, I do not think you need to do anything with MSS. 
 MTU=1380 should be a good value to use, based on my memory of prior experience. 
 I think everything associated with iptables is temporary. If I am correct on that point, it may explain your inconsistent results across multiple users.