PPTP/PPPoA and Policy Routing, MTU issue?

So, now I have to wonder what the MTU setting in the 'Advanced' section of an Interface definition does if not that.  Can anyone explain?

Cheers - Bob

So, now I have to wonder what the MTU setting in the 'Advanced' section of an Interface definition does if not that.  Can anyone explain?

The MTU setting tells Astaro to use a smaller packet size The machines behind the firewall will not know of the smaller MTU and won't adjust the MSS field in the tcp header. The MSS field instructs the remote host of the largest TCP packet that the sender can receive. The machines behind the firewall base the MSS on the MTU set on that machine. If you adjusted the MTU on all computers behind the firewall then the MSS would be set properly and everything would work.

In theory MTU path discovery should correct for a link with a small MTU anywhere on the path between client and server. In practice it does not work. Too many firewalls drop the icmp packets needed to make MTU path discovery work. NAT can also break MTU path discovery.

It is likely MTU path discovery worked between Astaro and the machines behind it. But the MSS was already set in the SYN packet. Also the machines behind Astaro wouldn't change the MSS as it is perfectly fine in tcp/ip land for the maximum packet size to be different for sending and receiving.

So, now I have to wonder what the MTU setting in the 'Advanced' section of an Interface definition does if not that.  Can anyone explain?

The MTU setting tells Astaro to use a smaller packet size The machines behind the firewall will not know of the smaller MTU and won't adjust the MSS field in the tcp header. The MSS field instructs the remote host of the largest TCP packet that the sender can receive. The machines behind the firewall base the MSS on the MTU set on that machine. If you adjusted the MTU on all computers behind the firewall then the MSS would be set properly and everything would work.

In theory MTU path discovery should correct for a link with a small MTU anywhere on the path between client and server. In practice it does not work. Too many firewalls drop the icmp packets needed to make MTU path discovery work. NAT can also break MTU path discovery.

It is likely MTU path discovery worked between Astaro and the machines behind it. But the MSS was already set in the SYN packet. Also the machines behind Astaro wouldn't change the MSS as it is perfectly fine in tcp/ip land for the maximum packet size to be different for sending and receiving.

So this is a persistant solution to my problem tested on v8.303:

echo "iptables -I FORWARD 1 -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmt" > /var/mdw/hooks/packetfilter_advanced
chmod 400 /var/mdw/hooks/packetfilter_advanced

Thanks Everyone!!

echo "iptables -I FORWARD 1 -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmt" > /var/mdw/hooks/packetfilter_advanced
chmod 400 /var/mdw/hooks/packetfilter_advanced

According to the iptables docs this rule should be in the mangle table.

iptables -I FORWARD -t mangle -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu