This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec & MSS

Is there any way to put MSS on the actual IPSec tunnel?

Currently I've got IPSec up and running between two sites and it's working for normal usage. My problem is that when I have two computers with Jumbo Frames enabled, one on each site the traffic is not going through the tunnel. I dont want to disable jumbo frames on local communication. Now I've got it temporarily working by setting MSS on the firewall's interface to which the computer with large MTU is connected.

I would like to set MSS on the actual tunnel interface so all communication between the two sites is non fragmented, something like: iptables -I FORWARD 1 -o  -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1440

Is it possible and how do you do that?


This thread was automatically locked due to age.
Parents
  • I don't have jumbo frames configured, but I am seeing the same results "The largest non-fragmented window size over the IPSec is 1410" 

    When running a capture on the external interface, you can see "ICMP ip reassembly time exceeded" messages. I wish Path MTU was working on the tunnel, but it seems the ASG is fragmenting the packet, but with too large of an MTU to traverse the routers along the way. Is there a way to:

    1 set fragmentation to make sure largest packet size is 1500?
    or
    2. Set the tunnel MTU size so Path MTU works, and sends the ICMP type 3 code 4 messages to the client?

    There is a ticket into Sophos support on this, but I haven't heard back yet.
Reply
  • I don't have jumbo frames configured, but I am seeing the same results "The largest non-fragmented window size over the IPSec is 1410" 

    When running a capture on the external interface, you can see "ICMP ip reassembly time exceeded" messages. I wish Path MTU was working on the tunnel, but it seems the ASG is fragmenting the packet, but with too large of an MTU to traverse the routers along the way. Is there a way to:

    1 set fragmentation to make sure largest packet size is 1500?
    or
    2. Set the tunnel MTU size so Path MTU works, and sends the ICMP type 3 code 4 messages to the client?

    There is a ticket into Sophos support on this, but I haven't heard back yet.
Children
No Data