Üblicherweise reicht es das MSS-Clamping in den Firewall Settings zu setzen. Dieser Wert kann für ein oder mehrere Interfaces übernommen werden. Möchte man verschiedene MSS Werte pro Interface auf dem EdgeRouter verwenden, müssen diese als Modify Regel angelegt werden.
set firewall options mss-clamp interface-type all set firewall options mss-clamp mss 1452
Hier sieht man eine klassische Einstellung für beispielsweise eine PPPoE Verbindung (1492-40=1452). Das WAN Interface ist auf 1500 Byte gesetzt. Das darauf liegende PPPoE Interface benötigt 8 Byte und hat daher noch einen MTU Wert von 1492. Daraus resultiert ein Wert von 1452. Bei IPv6 sind 60 Byte abzuziehen. Wenn wir nun einen GREoverIPsec Tunnel über die PPPoE Verbindung aufbauen möchten, benötigt das Tunnel Interface nochmals eine geringe MTU und damit geringe MSS.
Alternativ könnte man diese Einstellung löschen und anschließend Modify-Regeln anlegen. Wie dies geht habe ich in folgendem Beispiel angehängt. Zuerst löschen wir den bislang festgelegten Wert und erstellen anschließend sogenannte Modify-Regeln. Diese Regeln beziehen sich verständlicherweise ausschließlich auf TCP und werden anschließend für eingehenden und ausgehenden Verkehr an die entsprechenden Interface gebunden.
delete firewall options mss-clamp interface-type all delete firewall options mss-clamp mss 1452 set firewall modify MSS_TUN rule 1 action modify set firewall modify MSS_TUN rule 1 modify tcp-mss 1354 set firewall modify MSS_TUN rule 1 protocol tcp set firewall modify MSS_TUN rule 1 tcp flags 'SYN,!RST' set firewall modify MSS_WAN rule 1 action modify set firewall modify MSS_WAN rule 1 modify tcp-mss 1452 set firewall modify MSS_WAN rule 1 protocol tcp set firewall modify MSS_WAN rule 1 tcp flags 'SYN,!RST' set interfaces tunnel tun0 firewall in modify MSS_TUN set interfaces tunnel tun0 firewall out modify MSS_TUN set interfaces ethernet eth0 pppoe 0 firewall in modify MSS_WAN set interfaces ethernet eth0 pppoe 0 firewall out modify MSS_WAN
In diesem Beispiel haben wir nun eine MSS pro Interface auf dem EdgeRouter konfiguriert. Andere Geräte wie der auf EdgeOS basierende Unifi Security Gateway sollte ebenfalls diese Möglichkeit besitzen.
Glossar