В случаях инкапсуляции поступающих пакетов в GRE, а, затем, в IPsec, пользователь может столкнуться с проблемой передачи пакетов большого размера (длина пакета значительно увеличивается при добавлении GRE и IPsec заголовков). По умолчанию, значение MTU на GRE-интерфейсе - 1400 байт. Значение MTU на физических интерфейсах - 1500 байт.

Может сложиться ситуация, при которой:

•   Оконечные устройства генерируют пакеты, в которых выставлен флаг DF (do not fragmentation) в IP заголовке;

•      Размер пакета больше, чем MTU GRE-интерфейса;

•   ICMP-сообщение протокола PMTUD "Destination host Unreachable. Needed Fragment and DF set." по каким-то причинам до оконечного устройства не доходит.

В таком случае пакеты будут отбрасываться Шлюзом.

Существует несколько вариантов решения данной проблемы:

•      Снятие DF-флага с IP пакетов на «С-Терра Шлюз»;

•   Применение правил iptables, которые позволят изменять значение MSS в TCP SYN пакетах для контроля максимального размера пакетов в соединении.