Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 4484 views
  • Users 0 members are here
Options
Suggested

[7.504] MTU/MSS problems

BertJanssen
Hi,
using the red i encountered some MTU/MSS problems.

as i discovered my maximum Usable MTU size at the moment is 1472 Trough the RED (whitch is normal ) but mtu path discovery seems to fail. currently i have some problems reaching several sites.

i found that i could solve the problem by changing the MSS size field on forwarded traffic.

to change the MSS i use this command:
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400

what is the expected behavior ? because i think some other customers will have problems with this.
Parents
  • 0
    This should not be the case.

    RED will transport standard-sized (1500 bytes) frames fine, however this will cause fragmented tunnel UDP packets. This should not be a problem unless there's a system in the path that drops fragmented UDP packets. Maybe this is the case for your link?

    Additionally, we already add rules on the ASG that limit the MSS for TCP connections to 1300 bytes to avoid the fragmentation case. The rules should look like this:


    Chain FORWARD (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 PHYSDEV match --physdev-out reds1 TCPMSS set 1300
        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 PHYSDEV match --physdev-in reds1 TCPMSS set 1300
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           CONFIRMED match


    These rules should also exist on your system, please check.
Reply
  • 0
    This should not be the case.

    RED will transport standard-sized (1500 bytes) frames fine, however this will cause fragmented tunnel UDP packets. This should not be a problem unless there's a system in the path that drops fragmented UDP packets. Maybe this is the case for your link?

    Additionally, we already add rules on the ASG that limit the MSS for TCP connections to 1300 bytes to avoid the fragmentation case. The rules should look like this:


    Chain FORWARD (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 PHYSDEV match --physdev-out reds1 TCPMSS set 1300
        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 PHYSDEV match --physdev-in reds1 TCPMSS set 1300
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           CONFIRMED match


    These rules should also exist on your system, please check.
Children
No Data
Unfiltered HTML