Support-Forum

MTU Wert im VPN

Fragen zu den Basis-Schutzfunktionen der TrutzBox. Fragen zum Betriebssystem, Netzwerk, WLAN, zur Firewall, VPN (Remote-Zugriff) und zum Virenscanner.
Hallo,
ich hatte unlängst den Fernzugriff aktiviert und war einmal mehr angenehm überrascht wie "rund" die Einrichtung lief.
Heute allerdings hatte ich (eher zufällig) festgestellt, dass der Chrome-Browser auf dem mobilen Endgerät beim surfen via VPN auf einigen Seiten nur kurz zu laden beginnt, um dann nach einiger Weile mit der Fehlermeldung "err_empty_response" abzubrechen. Im heimischen WLAN bzw. bei direkter Verbindung zum LTE-Netz trat dieser Fehler nicht auf.
Ich habe daraufhin -mehr auf Verdacht- in meinem Android-Telefon mit den MTU Werten experimentiert und festgestellt, dass wenn ich den MTU-Wert der Schnittstelle "rmnet0" von 1500 auf 1400 verringere, der Fehler verschwindet. Bzw. die Sache ist auch umgekehrt reproduzierbar: Wenn ich den Wert wieder auf 1500 setze, funktionieren Seiten wie z.B. ebay.de und amazon.de nicht mehr.
Nun kann ich diesen Wert an dem Gerät ändern, weil es gerootet ist, das war sozusagen ein "glücklicher Zufall". In Sachen VPN bzw. OpenVPN fehlt mir das Hintergrundwissen: Ist es generell so, dass das Endgerät die MTU-Paketgröße bestimmt, oder könnte man auch Trutz-Box-Seitig eine andere MTU-Paketgröße für den VPN-Tunnel vorgeben? (Ich hatte nämlich in der Log-Datei des Android OpenVPN Clients gesehen, dass dort irgendwo der Wert "MTU=1500" auftaucht).
Der 1400er Wert war hierbei zunächst einmal eher willkürlich gewählt. Ich konnte aber feststellen, dass nun auch andere Seiten, die sich zuvor nur langsam, oder nach Drücken der "aktualisieren" Taste geöffnet haben nun deutlich schneller laden. Habe ich möglicherweise im OpenVN Client nur etwas falsch konfiguriert?
Ich bedanke mich einmal mehr im Voraus für Ihre Hilfe!
Wir konnten bisher noch kein Problem mit dem Default MTU-Wert von 1500 feststellen.

Man kann es ändern, wenn man im ovpn-file (das Config-File, das man per trutzmail bekommt) mit einem Editor die Zeile

tun-mtu 1300

einfügt:

Ihr Comidio Support
Hallo Comidio-Team.
Vielen Dank für Ihre Hilfe.
Da ich (notgedrungen) DSL Hybrid der Telekom nutze, wird dies vermutlich der Grund sein, warum der standard MTU Wert nicht bzw. nicht immer funktioniert? Hier werden ja parallel zum DSL-Festnetzanschluss Pakete über das LTE Netz in einem (vom Telekom-Router aufgebauten) VPN Tunnel ausgetauscht, die dann vom Provider an der Gegenstelle wieder zusammengeführt werden.
Nach allem, was ich so finden konnte scheint die max. Paketgröße lt. Telekom MTU=1384 zu sein. Mit diesem Wert funktionierte es aber nicht bei mir.
Nach einer Änderung auf MTU=1300 in der Konfigurationsdatei schien es zu funktionieren, wenn auch nicht zu 100% stabil.
Ich habe draufhin mal etwas gegoogelt und das OVPN-Handbuch studiert.

Code: Alles auswählen

tun-mtu 1300
mssfix 1300
scheint bis jetzt sehr gut zu funktionieren.
Unabhängig davon, ob diese Einstellungen jetzt wirklich das Optimum darstellen (bin ja mehr oder weniger Laie auf dem Gebiet), frage ich mich grundsätzlich, ob diese Änderungen auch Server-seitig (also in der Konfig. der Trutzbox) angewendet werden müssten?
Ok, ein Anschluss mit DSL Hybrid stellt jetzt sicher einen Sonderfall dar, aber es gibt ja u.a. auch Lösungen wie Sky-DSL, wo die max. Paketgröße meines Wissens noch kleiner ist. Vielleicht hilft diese Information ja dem einen oder anderen.
Viele Grüße!
Auf dem Server muss nichts eingestellt werden.

Wir wissen von anderen TrutzBox Kunden, die auch VPN über Telekom DSL-Hybrid Verbindung nutzen, dass diese keine Probleme haben.

Wir setzen den mtu wert nicht und damit wird der Standard mit mtu-1500 benutzt. Bei VPN Verbindungen über IPv6 und Tunnelung mit IPv4 könnte der Wert aber zu groß werden, da noch ein Header dazukommt. Falls das Problem noch mal auftritt könnten Sie probieren entweder

- IPv4 zu nutzen, oder
- das Tunneln ausschalten, oder
- den MTU Wert auf 1460 setzen

Ihr Comidio Support
Hier noch eine Ergänzung:

Falls der DSL Hybrid Router Probleme macht, kann man auch eine Ausnahme auf dem Router generieren, wonach das Bonding ausgeschalteten wird und nur VDSL verwendet wird.

Ihr Comidio Support
comidio support hat geschrieben:
So 12. Feb 2017, 01:15
Auf dem Server muss nichts eingestellt werden.

Wir wissen von anderen TrutzBox Kunden, die auch VPN über Telekom DSL-Hybrid Verbindung nutzen, dass diese keine Probleme haben.
Hm, das ist wirklich kurios. Wobei Ihr Hinweis sehr hilfreich war: Der Fehler (wenn man es überhaupt so nennen will) scheint grundsätzlich nicht mit der Datenübertragung via LTE zusammenzuhängen.
Ich habe auf Ihren Rat hin mal eine Regel im Hybrid-Router definiert, dass für das Gerät "trutzbox" nur die DSL-Verbindung verwendet wird. Seltsamerweise treten auch dann wieder die Probleme mit dem Packet Loss auf. Ich bekomme nur dann eine zuverlässige Verbindung, wenn ich den MTU-Wert auf 1344 reduziere.
Leider weiß ich nicht, wie ich auf einem Android-Device den maximal möglichen MTU-Werk ermittele (der "Ping"-Befehl scheint im Linux-Terminal unter Android nicht zu funktionieren?).
Im Android-Gerät habe ich unter APN-Protokoll IPV4 ausgewählt. Am Hybrid-Router selbst lässt ich IPV6 nicht deaktivieren (also weder extern noch intern). Da es bei anderen Kunden ja "out of the Box" zu funktionieren scheint, vermute ich, dass ich irgendetwas falsch konfiguriert habe. Ich muss dazu sagen, dass ich die Versuche im laifenden Betrieb durchgeführt habe. Hätte ich evtl Router/Trutzbox neu starten müssen?