В случаях инкапсуляции поступающих пакетов в GRE, а, затем, в IPsec, пользователь может столкнуться с проблемой передачи пакетов большого размера (длина пакета значительно увеличивается при добавлении GRE и IPsec заголовков). По умолчанию, значение MTU на GRE-интерфейсе – 1400 байт. Значение MTU на физических интерфейсах – 1500 байт.
Может сложиться ситуация, при которой:
· Оконечные устройства генерируют пакеты, в которых выставлен флаг DF (do not fragmentation) в IP заголовке;
· Размер пакета больше, чем MTU GRE-интерфейса;
· ICMP-сообщение протокола PMTUD "Destination host Unreachable. Needed Fragment and DF set." по каким-то причинам до оконечного устройства не доходит.
В таком случае пакеты будут отбрасываться Шлюзом.
Существует несколько вариантов решения данной проблемы:
· Снятие DF-флага с IP пакетов на «С-Терра Шлюз»;
· Применение правил iptables, которые позволят изменять значение MSS в TCP SYN пакетах для контроля максимального размера пакетов в соединении.