PPTP/PPPoA and Policy Routing, MTU issue?

So, now I have to wonder what the MTU setting in the 'Advanced' section of an Interface definition does if not that.  Can anyone explain?

Cheers - Bob

So, now I have to wonder what the MTU setting in the 'Advanced' section of an Interface definition does if not that.  Can anyone explain?

The MTU setting tells Astaro to use a smaller packet size The machines behind the firewall will not know of the smaller MTU and won't adjust the MSS field in the tcp header. The MSS field instructs the remote host of the largest TCP packet that the sender can receive. The machines behind the firewall base the MSS on the MTU set on that machine. If you adjusted the MTU on all computers behind the firewall then the MSS would be set properly and everything would work.

In theory MTU path discovery should correct for a link with a small MTU anywhere on the path between client and server. In practice it does not work. Too many firewalls drop the icmp packets needed to make MTU path discovery work. NAT can also break MTU path discovery.

It is likely MTU path discovery worked between Astaro and the machines behind it. But the MSS was already set in the SYN packet. Also the machines behind Astaro wouldn't change the MSS as it is perfectly fine in tcp/ip land for the maximum packet size to be different for sending and receiving.

So this is a persistant solution to my problem tested on v8.303:

echo "iptables -I FORWARD 1 -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmt" > /var/mdw/hooks/packetfilter_advanced
chmod 400 /var/mdw/hooks/packetfilter_advanced

Thanks Everyone!!

echo "iptables -I FORWARD 1 -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmt" > /var/mdw/hooks/packetfilter_advanced
chmod 400 /var/mdw/hooks/packetfilter_advanced

According to the iptables docs this rule should be in the mangle table.

iptables -I FORWARD -t mangle -o ppp+ -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Does anyone know if/how this is related to the 'Enable TCP Window scaling' selection on the 'Advanced' tab of 'Firewall'?

Cheers - Bob
PS Thanks for your help, kernelpanic, and welcome to the User BB!

Does anyone know if/how this is related to the 'Enable TCP Window scaling' selection on the 'Advanced' tab of 'Firewall'?

I don't know, but TCP Window scaling is turned on since the beginning on my ASG.

Here is the definition from the doc:

"Enable TCP Window Scaling: The TCP receive window (RWin) size is the amount of received data (in bytes) that can be buffered during a connection. The sending host can send only that amount of data before it must wait for an acknowledgment and window update from the receiving host. For more efficient use of high bandwidth networks, a larger TCP window size may be used. However, the TCP window size field controls the flow of data and is limited to 2 bytes, or a window size of 65535 bytes. Since the size field cannot be expanded, a scaling factor is used. TCP window scaling is a kernel option of the TCP/IP stack and can be used to increase the maximum window size from 65535 bytes to 1 Gigabyte. Window scaling is enabled by default. However, since some network devices such as routers, load balancers, gateways, and so on still do not fully support window scaling, depending on your environment it might be necessary to turn it off."