Verificar MTU y MSS en Sophos Firewall ante problemas de VPN
Cuando se establece una conexión VPN pero algunas aplicaciones se quedan colgadas, a menudo se piensa primero en las reglas del firewall, DNS o el punto remoto. Esto es correcto, pero no completo. En el caso de paquetes grandes, overhead de IPsec, PPPoE, SD-WAN o VPNs basadas en rutas, MTU y MSS también pueden ser la causa.
Un error típico no se presenta como un bloqueo claro: el ping funciona, las páginas web pequeñas cargan, pero las transferencias de archivos se interrumpen, RDP se congela, los inicios de sesión HTTPS se detienen o VoIP se vuelve inestable. El artículo sitúa los temas de MTU y MSS en Sophos Firewall sin cambiar valores a ciegas o construir soluciones peligrosas en la shell.
Para los fundamentos sobre interfaces, zonas y XFRM, primero consulte Configurar zonas e interfaces en Sophos Firewall. Si un túnel IPsec no se establece o no se instala una asociación de seguridad, Solución de problemas de VPN IPsec en Sophos Firewall es un mejor punto de partida.
Explicación breve de MTU y MSS
La MTU describe cuán grande puede ser un paquete en una interfaz o ruta. Si un paquete es más grande de lo que permite la ruta, debe fragmentarse o será descartado. En las VPNs, esto es especialmente relevante porque IPsec añade encabezados adicionales.
La MSS se refiere a TCP y describe cuán grande debe ser la parte de datos de un segmento TCP. Si la MSS permanece demasiado alta, aunque la ruta real a través de VPN, PPPoE u otros overlays sea más pequeña, surgen problemas típicos de TCP: retransmisiones, bloqueos, conexiones lentas o interrupciones en conexiones con grandes volúmenes de datos.
Importante: MTU y MSS no son valores de ajuste que se reducen al azar hasta que funcione de alguna manera. Ambos valores pertenecen a la ruta. Antes de un cambio, debe estar claro qué interfaz, dirección, protocolo y túnel están afectados.
Cuándo sospechar de MTU o MSS
Los problemas de MTU y MSS a menudo solo se manifiestan en ciertas aplicaciones o tamaños de paquetes.
Indicaciones típicas:
- El túnel VPN está conectado, pero las descargas o cargas grandes se quedan colgadas.
- RDP, SMB, HTTPS, copias de seguridad, ERP o aplicaciones en la nube solo funcionan parcialmente.
- Las pruebas pequeñas de ICMP funcionan, pero las transferencias de datos más grandes no.
- VoIP o aplicaciones de conferencia son inestables solo a través de ciertas rutas VPN o SD-WAN.
- El problema solo afecta a PPPoE, un WAN específico, una ruta IPsec basada en rutas o una interfaz XFRM.
- iPerf muestra muchas retransmisiones o un rendimiento TCP muy fluctuante.
- Después de un cambio de proveedor, actualización de firmware, reestructuración de SD-WAN o migración de VPN, aparece de repente un nuevo patrón de error.
Estos síntomas no prueban un problema de MTU. Sin embargo, son una buena razón para incluir MTU y MSS en el análisis.
No confundir con problemas de reglas, NAT o DNS
MTU/MSS generalmente no es el primer punto de verificación. Primero debe estar claro que el tráfico sigue la ruta esperada. De lo contrario, se ajustan los tamaños de los paquetes cuando en realidad una regla, NAT, DNS o el camino de retorno están incorrectos.
| Observación | Más probable que MTU/MSS al principio |
|---|---|
| No aparece tráfico en el Log Viewer | Registro, puerta de enlace del cliente, VLAN, ruta o flujo de prueba incorrecto |
| Se aplica la ID de regla de firewall incorrecta | Orden de reglas, zona, origen, destino, servicio o coincidencia de usuario |
| La ID de regla NAT no coincide | Orden de NAT, campos originales, MASQ/SNAT/DNAT o dirección incorrecta |
| El nombre se resuelve en una IP inesperada | DNS, DNS dividido, objeto FQDN, CDN o IPv6 |
| Las pruebas pequeñas y grandes fallan por igual | Regla, enrutamiento, NAT, sistema de destino o punto remoto |
| Solo las transferencias grandes se cuelgan | Verificar MTU/MSS, fragmentación, descubrimiento de MTU de ruta o overhead de VPN |
Para esta pre-verificación, consulte Verificar causas de reglas de firewall no coincidentes en Sophos Firewall, Usar captura de paquetes en WebAdmin y Entender NAT en Sophos Firewall. Solo cuando las reglas, NAT, enrutamiento y DNS son plausibles, vale la pena seguir la pista de MTU/MSS.
Áreas típicas en Sophos Firewall
En Sophos Firewall, varias áreas pueden ser relevantes. Generalmente, no toda la firewall está afectada, sino una ruta específica.
| Área | Por qué es relevante |
|---|---|
| Interfaz WAN | El proveedor, PPPoE, VLAN o el router anterior pueden reducir el tamaño de paquete utilizable |
| Interfaz XFRM | IPsec basado en rutas genera overhead adicional y necesita una MTU de túnel adecuada |
| Ruta SD-WAN | Una ruta puede pasar por otro WAN, MPLS o VPN diferente al esperado |
| Regla de firewall | Las características de seguridad o el registro ayudan a delimitar, pero no son la MTU en sí |
| Punto remoto | La otra firewall, VPN en la nube o lado del proveedor debe manejar la ruta correctamente |
| Interfaz Wi-Fi | Desde SFOS 22.0 MR1, Sophos también menciona ajustes de MTU/MSS para interfaces Wi-Fi a través de CLI |
En IPsec basado en rutas, Sophos Firewall crea interfaces XFRM. Los valores de MTU de XFRM se calculan a partir de la interfaz física y el overhead máximo de IPsec y pueden ajustarse si es necesario. Esto es útil, pero no reemplaza una verificación adecuada de la ruta real.
Primero demostrar la ruta
Antes de cualquier cambio, se debe describir claramente el flujo de datos afectado. De lo contrario, se optimiza rápidamente en la interfaz incorrecta.
Preguntas prácticas:
- ¿Qué IP de origen y destino están afectadas?
- ¿El tráfico pasa por LAN, VLAN, WAN, XFRM, RED, SD-WAN o VPN de acceso remoto?
- ¿Solo una dirección está afectada o ambas?
- ¿Afecta a TCP, UDP o ambos?
- ¿Funcionan los paquetes pequeños, pero no las transferencias más grandes?
- ¿Realmente se aplica la regla de firewall esperada?
- ¿Hay NAT, MASQ, inspección TLS, IPS o control de aplicaciones en la ruta?
- ¿El punto remoto tiene una ruta de retorno adecuada?
Para la verificación de reglas y rutas, consulte Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture. En caso de NAT o MASQ, también debe revisarse Entender NAT en Sophos Firewall.
Diagnóstico con Log Viewer, Packet Capture e iPerf
El Log Viewer muestra si el tráfico está permitido o descartado. Sin embargo, no prueba por sí solo si un paquete es demasiado grande. Para ello, se necesita además Packet Capture, pruebas reproducibles y una interpretación clara.
Log Viewer
En el Log viewer, primero verifique:
- Seleccione el módulo
Firewallo el módulo de seguridad afectado. - Filtre por IP de origen, IP de destino y servicio.
- Verifique qué regla de firewall coincide.
- Asegúrese de que ninguna regla de descarte, zona incorrecta o regla NAT incorrecta sea el problema real.
Si no se ve tráfico, el problema a menudo está antes de la firewall, en la puerta de enlace del cliente, VLAN, enrutamiento o en el punto remoto.
Packet Capture
En Diagnostics > Tools > Packet capture, puede delimitar más la prueba. Es útil un filtro en la fuente y destino afectados. Luego, se reproduce una prueba individual, como una llamada HTTPS, una transferencia de archivos o el inicio de una aplicación.
La interpretación es importante:
| Observación | Significado |
|---|---|
| Los paquetes no llegan a la firewall | Verificar cliente, puerta de enlace, VLAN o enrutamiento local |
| Los paquetes entran en el túnel, faltan respuestas | Verificar punto remoto, ruta de retorno o firewall remota |
| Muchas retransmisiones en TCP | Verificar pérdida de paquetes, MTU/MSS, calidad de WAN o sobrecarga |
| Las pruebas pequeñas funcionan, las transferencias grandes se cuelgan | Verificar MTU/MSS o descubrimiento de MTU de ruta |
Para el uso de la herramienta, consulte Usar la herramienta de captura de paquetes en WebAdmin.
iPerf
iPerf es útil cuando se puede medir una ruta de manera reproducible. Un servidor iPerf propio en el lado remoto es mucho más significativo que un servidor iPerf público. Si el rendimiento TCP es bajo y se ven muchas retransmisiones, se debe verificar MTU/MSS junto con la calidad de WAN, CPU, punto remoto y características de seguridad.
El procedimiento se detalla en Solución de problemas en Sophos Firewall con iPerf y Speedtest.
Cambiar valores solo de manera dirigida
Si la sospecha es sólida, los cambios deben ser pequeños, documentados y reversibles.
Antes de un cambio:
- documentar el valor actual
- anotar la interfaz y el túnel afectados
- elegir una ventana de mantenimiento o un momento de prueba controlado
- cambiar solo un valor por prueba
- realizar una prueba antes/después con la misma aplicación
- informar al punto remoto si se trata de un VPN de sitio a sitio
En VPNs basadas en rutas, primero se debe verificar la interfaz XFRM y la conexión IPsec asociada. En PPPoE o superposiciones de proveedores, a menudo la interfaz WAN o la ruta del proveedor es el punto decisivo. En SD-WAN, también debe estar claro qué ruta de puerta de enlace o VPN se está utilizando realmente. El artículo Enrutamiento SD-WAN para paquetes de respuesta y tráfico del sistema ayuda a clasificar las rutas SD-WAN.
⚠️ No use hacks permanentes en la shell. La manipulación directa de paquetes mediante Advanced Shell, scripts de inicio no documentados o reglas de filtro de paquetes espontáneas no son una solución limpia para firewalls en producción. Primero deben revisarse las funciones soportadas de Sophos Firewall.
Qué evitar
Estos patrones causan más daño que beneficio en la práctica:
- Establecer MSS extremadamente bajo para todas las redes de manera general.
- Cambiar valores de MTU sin pruebas antes/después.
- Probar solo una dirección y concluir sobre toda la ruta VPN.
- Usar soluciones en la shell en lugar de funciones de WebAdmin o consola de dispositivos documentadas.
- Ignorar el punto remoto, aunque el camino de retorno o su clamping de MSS puedan estar involucrados.
- Asumir que MTU/MSS es la causa, aunque no se hayan verificado las reglas de firewall, NAT, enrutamiento o DNS.
- Dejar logs de depuración o capturas de paquetes ejecutándose mucho tiempo y llenando el espacio de almacenamiento.
Si ya existen scripts locales o manipulaciones de paquetes, primero debe leerse Scripts en Sophos Firewall sin cronjob: riesgos y alternativas y documentar adecuadamente el legado.
Tabla de solución de problemas
| Síntoma | Área más probable | Siguiente verificación |
|---|---|---|
| VPN verde, transferencias grandes se cuelgan | MTU/MSS, camino de retorno, característica de seguridad | Packet Capture e iPerf con la misma ruta |
| Solo WAN PPPoE afectado | Ruta del proveedor o MTU de WAN | Verificar interfaz WAN, puerta de enlace y datos del proveedor |
| VPN basada en rutas inestable con paquetes grandes | MTU de XFRM o ruta SD-WAN | Verificar interfaz XFRM, conexión IPsec y ruta |
| VoIP sobre VPN solo parcialmente estable | SD-WAN, camino de retorno, pérdida de paquetes, MTU | Verificar ruta SIP/RTP, ruta SD-WAN y captura |
| TCP muy lento, UDP normal | MSS, retransmisiones, ventana TCP, pérdida de paquetes | Probar iPerf TCP/UDP por separado |
| Paquetes pequeños funcionan, grandes no | Descubrimiento de MTU de ruta o fragmentación | Probar tamaños de paquetes conscientemente y verificar punto remoto |
Lista de verificación
Verificar de inmediato:
- Documentar origen, destino, servicio y dirección afectados.
- Confirmar regla de firewall y regla NAT en Log Viewer.
- Realizar Packet Capture con filtro estrecho.
- Verificar estado de IPsec y contador de bytes si está involucrado un VPN.
- Verificar punto remoto y camino de retorno.
Si MTU/MSS es probable:
- Identificar interfaz o punto XFRM afectado.
- Documentar valor actual de MTU/MSS.
- Planificar solo un cambio por prueba.
- Establecer aplicación de prueba y valor de comparación.
- Coordinar cambio con el punto remoto si se trata de un VPN de sitio a sitio.
Después del cambio:
- Probar la misma aplicación nuevamente.
- Comparar Log Viewer, Packet Capture o iPerf.
- Documentar nuevos valores y justificación.
- Verificar monitoreo en los próximos días.