Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    ipsec vpn fragment udp pakete

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 3 Posters 281 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      richie1985
      last edited by

      Hi,

      zu grosse tcp pakete werden innerhalb meines ipsec vpn tunnels fragmentiert.
      zu grosse udp pakete leider nicht und kommen vermutlich deshalb nicht auf der gegenseite an.

      ich google und chatgpt mich zu tode, aber so richtig finde ich keine lösung. gibt es irgendwie ein weg, die grösse der udp pakete die in den ipsec tunnel gehen zu begrenzen? also zu fragmentieren?

      geht das wirklich nur auf der WAN Schnittstelle?

      Gruss!
      Erik

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @richie1985
        last edited by viragomann

        @richie1985 said in ipsec vpn fragment udp pakete:

        ich google und chatgpt mich zu tode

        Hallo,

        und du bist nicht auf den Begriff 'MSS clamping' gestoßen?

        System > Advanced > Firewall & NAT > Enable Maximum MSS
        aktivieren und darunter den gewünschten Wert eintragen.

        Leider bietet die pfSense nur eine generelle Einstellung für alle VPNs.

        Mit ping und der Größenangabe des Datenpakets könntest du dich an den maximal verträglichen Wert heran tasten.

        Eventuell hilft aber "IP Fragment Reassemble" in deinem Fall.

        Grüße

        R 1 Reply Last reply Reply Quote 0
        • R
          richie1985 @viragomann
          last edited by

          @viragomann said in ipsec vpn fragment udp pakete:

          und du bist nicht auf den Begriff 'MSS clamping' gestoßen?

          Hi,

          na klar. aber so wie ich das verstehe betrifft das doch nur TCP Pakete oder? Ich brauch es ja eben für UDP Pakete.

          Und "IP Fragment Reassemble" versteh ich so, das die Pfsense "empfangene" fragmentiere Pakete erst wieder zusammenbaut bevor sie zum Ziel weitergeleitet wird.

          Mir geht es ja speziell um UDP Pakete die in den Tunnel reingehen ABER auf der Gegenseite (wohl eine Fortigate) gar nicht erst empfangen werden weil vermutlich zu gross.

          Speziell geht es um solche Pakete die 1454 gross sind und durch den Header für IPSEC dann vermutlich zu gross werden:

          55d1b83b-04e8-49dd-87e6-a3392434f087-grafik.png

          Den nur die SIP Invite Pakete kommen nicht an, alles andere (also Register und Ok und so) kommt problemlos an.

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @richie1985
            last edited by

            @richie1985
            Ich glaube die Erfahrung gemacht zu haben, dass MSS clamping sich auch auf UDP auswirkt, kann mich aber täuschen. Ich würde es aber versuchen.

            Ja, "IP Fragment Reassemble" behandelt grundsätzlich ein anderes Problem. Aber was genau bei dir der Grund des Problems ist, konnte ich aus der mageren Beschreibung nicht erkennen.

            Ich hatte mal das Problem bei einer IPSec zu eine OPNsense, dass die IPSec Paket selbst am WAN zu groß wurden, dass sie verworfen wurden. Das waren natürlich auch UDP Pakete und hat sich erst mit einem Capture am WAN gezeigt.
            Das MSS clamping auf der OPNsense für die Verbindung gesetzt, hat das Problem beseitigt. Die schlägt einen Wert von 1100 vor. Damit funkt es dann sicher, sollte es daran liegen.

            1 Reply Last reply Reply Quote 0
            • N
              NOCling
              last edited by

              MSS 1328 ist für IPsec und AES Tunnel mode der Wert der das geringste Padding erzeugt, alles andere ist entweder zu groß oder zu klein und du hast wieder Fülldaten.

              Bei UDP muss es der Applikation steuern, das hängt hier also vom Programmierer ab, ob er das sauber eingebaut hat oder nicht.
              Wenn nicht, kannst du die Applikation über WAN Strecken und gerade VPN Tunnel hinweg vergessen.

              Bei UDP selber gibt es keine Mechanismus der das steuert.

              Netgate 6100 & Netgate 2100

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.