This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec & MSS

Is there any way to put MSS on the actual IPSec tunnel?

Currently I've got IPSec up and running between two sites and it's working for normal usage. My problem is that when I have two computers with Jumbo Frames enabled, one on each site the traffic is not going through the tunnel. I dont want to disable jumbo frames on local communication. Now I've got it temporarily working by setting MSS on the firewall's interface to which the computer with large MTU is connected.

I would like to set MSS on the actual tunnel interface so all communication between the two sites is non fragmented, something like: iptables -I FORWARD 1 -o  -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1440

Is it possible and how do you do that?


This thread was automatically locked due to age.
  • Is there any way to put MSS on the actual IPSec tunnel?

    Currently I've got IPSec up and running between two sites and it's working for normal usage. My problem is that when I have two computers with Jumbo Frames enabled, one on each site the traffic is not going through the tunnel. I dont want to disable jumbo frames on local communication. Now I've got it temporarily working by setting MSS on the firewall's interface to which the computer with large MTU is connected.

    I would like to set MSS on the actual tunnel interface so all communication between the two sites is non fragmented, something like: iptables -I FORWARD 1 -o  -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1440

    Is it possible and how do you do that?


    Did you already try the path MTU discovery feature in VPN instead of manually clamping MSS? Should technically have a similar effect in the end...

    Sorry for short answers and typos. was written on mobile using astaro.org app.
  • Thanks for your help. 

    Yes, that was one of the first things that I tried. It seems like the two Linux boxes doesn't care about that. Other machines running windows can send packets larger than MTU through the tunnel (fragmented), but communication between the two Linux is limited to 1472.
  • Hi, brohall, and welcome to the User BB!

    Check #1 in Rulz.  What selections do you have in 'Protocol handling' on the 'Advanced' tab of 'Firewall'?

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • ON - Enable TCP Window scaling 
    OFF - Use strict TCP session handling 
    OFF - Validate packet length
  • Its not solved but I found that some other hosts had trouble with packets larger than 1472 byte that were routed but not sent over IPSec while packets with 1472 byte was transmitted fine between the two hosts. The largest non-fragmented window size over the IPSec is 1410. The problem is most likely somewhere else...

    Thanks for your support!
  • I don't have jumbo frames configured, but I am seeing the same results "The largest non-fragmented window size over the IPSec is 1410" 

    When running a capture on the external interface, you can see "ICMP ip reassembly time exceeded" messages. I wish Path MTU was working on the tunnel, but it seems the ASG is fragmenting the packet, but with too large of an MTU to traverse the routers along the way. Is there a way to:

    1 set fragmentation to make sure largest packet size is 1500?
    or
    2. Set the tunnel MTU size so Path MTU works, and sends the ICMP type 3 code 4 messages to the client?

    There is a ticket into Sophos support on this, but I haven't heard back yet.