Obwohl es weiter unten schon einen ähnlichen Thread gibt, habe ich mich entschlossen einen Neuen zu eröffnen, da ich das Ganze doch etwas genauer beschreiben kann.
Wir möchten ein Branchoffice per Sophos RED 50 an unsere UTM anbinden. Duch den Tunnel sollen zwei VLANs geroutet werden. Dazu habe ich an der UTM zwei neune Schnittstellen vom Typ 'Ethernet-VLAN' erstellt und sie an das entsprechende RED Device gebunden. Auf dem RED habe ich den LAN-Port-Modus auf VLAN gestellt und die entsprechenden VLAN IDs um Modus 'Ungetaggt (Hybrid-Port)' bzw. 'Ohne Tags' eingetragen.
Wenn man Ping zu Testen verwendet scheint dieses Konstrukt auch zu funktionieren, geht aber richtiger Datenverkehr über die Leitung, funktionieren die Verbindungen nicht mehr. Beim Debuggen habe ich festgestellt, dass nur Ping-Pakete mit einem maximalen Payload von 1470 Bytes durch den Tunnel gehen, was einer MTU von 1498 entspricht. Sind die Pakete größer, so werden sie nicht mehr übertragen.
Man kann jetzt hergehen und an der RED Schnittstelle auf der UTM die MTU auf 1498 stellen, was dann bewirkt, dass größere Pakete fragmentiert werden und sie somit durch den Tunnel gehen. Auf der RED Seite des Tunnels scheint die MTU aber unverändert zu sein, was bewirkt das die Antwortpakete nun dort hängen bleiben. Wenn man nun auf dem angepingten Gerät auf der RED Seite die MTU auf 1498 stellt, dann funktioniert alles einwandfrei.
Leider ist dies keine praktikable Lösung, da ich dort z.B. IP-Telefone habe, bei denen ich die MTU nicht ohne weiteres verstellen kann. Des Weiteren müsste man bei jedem neu aufgestellten Gerät diese MTU Problemtik bedenken. In meinen Augen würde es Sinn machen, wenn eine Änderung der MTU des RED Interfaces beide Tunnelenden betreffen würde. Da man ja an den RED nicht sehr viel einstellen kann, habe ich dort nichts gefunden um die MTU explizit zu setzen. Da ich auch im Netz nichts zu dieser Problematik gefunden habe, würde mich interessieren, ob andere dieses Problem auch schon hatten und es vielleicht irgendwie umgehen konnten? Eventuell habe ich ja auch nur einen Fehler im meiner Konfiguration.
This thread was automatically locked due to age.
