Fragen zu MTU und MSS

[n3]

Hey Zusammen, ich habe ein Glasfaseranschluss der Telekom und das WAN Interface entsprechend konfiguriert. Ich möchte nun auch die MTU und MSS richtig setzen. Für die Telekom wird 1492 empfohlen und die opnsens zeigt als Hinweis "Calculated PPP MTU 1484" an. Was bedeutet das?

Ich habe über Ping die MTU geprüft:
ping -f -l 1456 8.8.8.8

Alles was über 1456 ist geht nicht, da es fragmentiert werden würde. Die 1456 deutet aber eher auf eine MTU von 1484 hin (IP-Header 20 + ICMP-Header 8).

Bin dacher verwirrt, ob ich nun 1484 oder 1492 eintragen soll.

Dann kommt MSS. Da ich IPv4 und IPv6 nutzen will, ziehe ich 60 hab und könnte auf 1432 bzw. 1424. Aber im Hinweis steht, dass die 40 bzw. 60 von eingetragenen Wert angezogen werden. Bin daher unschlüssig was ich eintragen soll.

Soll ich dann noch unter Firewall - > Setting - > Normalization das MSS konfigurieren, oder reicht der Wert im WAN Interface.

Hab auch im Netzwerkkontroller vom WAN in proxmox die MTU angegeben. Müssen alle Controller die MTU gesetzt bekommen?

[meyergru]

Die MSS musst Du normalerweise nicht setzen, da sie aus der MTU abgeleitet wird.

Dann solltest Du wissen, dass der ping-Befehl unter Linux sich von dem unter FreeBSD unterscheidet, denn offenbar hast Du nicht die OpnSense CLI genutzt. Ich würde zuerst vom OpnSense-CLI testen, um den Einfluss der LAN-MTU und MSS-Clamping auszuschließen. Dort geht das so:

ping -s 1472 8.8.8.8

Eine funktionierende Ping-Size von 1472, wenn sie funktioniert, zeigt eine maximal mögliche MTU von 1500 Bytes an (eben abzüglich IP-Header + ICMP-Header).

1456 entspräche also einer MTU von 1484, was ungewöhnlich wenig ist. Normal wären 1492 oder 1488, weil man von der physischen MTU 8 Byte PPPoE-Header und ggf. noch 4 Byte VLAN-Header abziehen muss (letzteres braucht man aber oft nicht). Die Telekom verwendet m.W. sowohl bei Glasfaser wie bei VDSL PPPoE über VLAN und normalerweise macht das Tagging die OpnSense, nicht das Modem oder der ONT.

Lies vielleicht mal dies und entferne vorher die ganzen unnötigen Einstellungen wie MSS und MSS-Clamping, bevor Du testest. Beachte auch, das die Reihenfolge der Konfiguration der Interfaces (WAN/PPPoE/VLAN/physisches Interface) eine Rolle spielt und mach dann einen sauberen Reboot vor weiteren Tests.

MSS-Clamping würde ich erst dann machen, wenn Du eine WAN-MTU < 1500 benötigst und auf Deinen LAN-Interfaces weiter 1500 haben willst - es funktioniert auch ohne, wenn Du LAN-MTU = WAN MTU setzt, aber wie gesagt: wenn die feststeht.

Je nachdem, wie Du das Ganze von der Topologie her aufgebaut hast, kann Dir da auch Dein Proxmox reinspucken (BTW: Du solltest so etwas erwähnen, das verkompliziert ggf. einiges, siehe auch hier, Punkte 8 und 16, oder am besten gleich ganz).

[n3]

Die MSS musst Du normalerweise nicht setzen, da sie aus der MTU abgeleitet wird.

OK, hab die Einstellung zurückgenommen und auch die in proxmox.

Dann solltest Du wissen, dass der ping-Befehl unter Linux sich von dem unter FreeBSD unterscheidet, denn offenbar hast Du nicht die OpnSense CLI genutzt. Ich würde zuerst vom OpnSense-CLI testen, um den Einfluss der LAN-MTU und MSS-Clamping auszuschließen. Dort geht das so:

ping -s 1472 8.8.8.8

Eine funktionierende Ping-Size von 1472, wenn sie funktioniert, zeigt eine maximal mögliche MTU von 1500 Bytes an (eben abzüglich IP-Header + ICMP-Header).

1456 entspräche also einer MTU von 1484, was ungewöhnlich wenig ist. Normal wären 1492 oder 1488, weil man von der physischen MTU 8 Byte PPPoE-Header und ggf. noch 4 Byte VLAN-Header abziehen muss (letzteres braucht man aber oft nicht). Die Telekom verwendet m.W. sowohl bei Glasfaser wie bei VDSL PPPoE über VLAN und normalerweise macht das Tagging die OpnSense, nicht das Modem oder der ONT.

Hab jetzt den Ping über die CLI von opnsense gemacht und 1460 geht, 1461 geht nicht. (vorher war es ja 1456 als MTU und MSS gesetzt war)

Lies vielleicht mal dies

Ich habe es jetzt nicht mit dem Tool getestet, aber das Skript macht ja nur den Ping solange, bis die max. Größe gefunden ist. Das habe ich manuell auch gemacht und lande bei 1460.

Jetzt würde ich diesen Wert in der Advanced Configuration setzen und nicht im WAN Interface wie bisher. Aber was meinst du mit:

As an example, if you have a WAN over PPPoE over VLAN, you should have to set WAN MTU = 1500, PPPOE VLAN = 1508, ethernet port = 1512, and it really only works for me with these tightly controlled MTUs:

Beachte auch, das die Reihenfolge der Konfiguration der Interfaces (WAN/PPPoE/VLAN/physisches Interface) eine Rolle spielt

Was meinst du damit?

[meyergru]

Hab jetzt den Ping über die CLI von opnsense gemacht und 1460 geht, 1461 geht nicht. (vorher war es ja 1456 als MTU und MSS gesetzt war)

Klar, also ist die MTU 1488, wie erwartet, nämlich 1500 - 8 Byte PPPoE - 4 Byte VLAN, wie ich sagte.

Ich habe es jetzt nicht mit dem Tool getestet, aber das Skript macht ja nur den Ping solange, bis die max. Größe gefunden ist. Das habe ich manuell auch gemacht und lande bei 1460.

Das Tool ist nicht der Punkt, Du solltest vielleicht alles lesen. Es geht darum, wie Du auch bei defekter PMTUD mit der üblichen MTU von 1500 bei WAN und LAN arbeiten kannst, ohne, dass irgendwelches MSS-Clamping o.ä. notwendig sind.

Jetzt würde ich diesen Wert in der Advanced Configuration setzen und nicht im WAN Interface wie bisher. Aber was meinst du mit:

As an example, if you have a WAN over PPPoE over VLAN, you should have to set WAN MTU = 1500, PPPOE VLAN = 1508, ethernet port = 1512, and it really only works for me with these tightly controlled MTUs:

Darum geht es: Du setzt die "äußerere" MTU höher (was oft funktioniert), um damit für Dein WAN-Interface wieder die "üblichen" 1500 Bytes zu erreichen. Das Beispiel findet für Dich exakt Anwendung (wenn es funktioniert). Danach hast Du eine MTU von 1500 auf dem WAN und damit eine Ping-Size von 1472.

Beachte auch, das die Reihenfolge der Konfiguration der Interfaces (WAN/PPPoE/VLAN/physisches Interface) eine Rolle spielt

Was meinst du damit?

Ist alles im Artikel erklärt. Wenn man die Einstellungen macht, werden sie nicht sofort übernommen. Es braucht einen Reboot, um das alles zum Funktionieren zu bringen. Heißt: Du machst die Einstellungen, aber die gelieferten Werte sind nicht "sofort" richtig.