Verifica di MTU e MSS su Sophos Firewall in caso di problemi VPN
Quando una connessione VPN è stabilita ma alcune applicazioni continuano a bloccarsi, spesso si pensa prima alle regole del firewall, al DNS o al punto remoto. Questo è corretto, ma non completo. In caso di pacchetti grandi, sovraccarico IPsec, PPPoE, SD-WAN o VPN basate su route, anche MTU e MSS possono essere la causa.
È tipico un quadro di errore che non appare come un blocco chiaro: il ping funziona, i piccoli siti web si caricano, ma i trasferimenti di file si interrompono, RDP si blocca, le autenticazioni HTTPS si fermano o VoIP diventa instabile. L’articolo colloca i temi di MTU e MSS su Sophos Firewall senza modificare ciecamente i valori o costruire workaround pericolosi con la shell.
Per le basi su interfacce, zone e XFRM, consultare prima Configurare zone e interfacce su Sophos Firewall. Se un tunnel IPsec non viene affatto stabilito o non è installata alcuna Security Association, Risoluzione dei problemi IPsec VPN su Sophos Firewall è un punto di partenza migliore.
MTU e MSS spiegati brevemente
La MTU descrive quanto può essere grande un pacchetto su un’interfaccia o percorso. Se un pacchetto è più grande di quanto consentito dal percorso, deve essere frammentato o viene scartato. Nei VPN è particolarmente rilevante perché IPsec aggiunge intestazioni aggiuntive.
La MSS riguarda TCP e descrive quanto dovrebbe essere grande la parte di dati di un segmento TCP. Se la MSS rimane troppo alta, anche se il percorso effettivo attraverso VPN, PPPoE o altri overlay è più piccolo, si verificano problemi TCP tipici: ritrasmissioni, blocchi, connessioni lente o interruzioni di connessione con grandi quantità di dati.
Importante: MTU e MSS non sono valori di tuning che si riducono casualmente fino a quando non funzionano in qualche modo. Entrambi i valori appartengono al percorso. Prima di una modifica, dovrebbe essere chiaro quale interfaccia, direzione, protocollo e tunnel sono interessati.
Quando sospettare MTU o MSS
I problemi di MTU e MSS si manifestano spesso solo con determinate applicazioni o dimensioni di pacchetto.
Indicazioni tipiche:
- Il tunnel VPN è connesso, ma i download o upload più grandi si bloccano.
- RDP, SMB, HTTPS, backup, ERP o applicazioni cloud funzionano solo parzialmente.
- I piccoli test ICMP funzionano, i trasferimenti di dati più grandi no.
- VoIP o applicazioni di conferenza sono instabili solo su determinati percorsi VPN o SD-WAN.
- Il problema riguarda solo PPPoE, una specifica WAN, un percorso IPsec basato su route o un’interfaccia XFRM.
- iPerf mostra molte ritrasmissioni o throughput TCP molto variabile.
- Dopo un cambio di provider, aggiornamento firmware, ristrutturazione SD-WAN o migrazione VPN, appare improvvisamente un nuovo quadro di errore.
Tali sintomi non provano ancora un problema di MTU. Tuttavia, sono un buon motivo per includere MTU e MSS nell’analisi.
Non confondere con problemi di regola, NAT o DNS
MTU/MSS non è di solito il primo punto di controllo. Prima dovrebbe essere chiaro che il traffico segue fondamentalmente il percorso previsto. Altrimenti si modificano le dimensioni dei pacchetti, anche se in realtà una regola, NAT, DNS o il percorso di ritorno è errato.
| Osservazione | Più probabile di MTU/MSS |
|---|---|
| Nessun traffico appare nel Log Viewer | Logging, gateway client, VLAN, route o flusso di test errato |
| Viene applicata l’ID della regola firewall errata | Ordine delle regole, zona, origine, destinazione, servizio o corrispondenza utente |
| L’ID della regola NAT non corrisponde | Ordine NAT, campi originali, MASQ/SNAT/DNAT o direzione errata |
| Il nome risolve in un IP inaspettato | DNS, Split DNS, oggetto FQDN, CDN o IPv6 |
| I test piccoli e grandi falliscono allo stesso modo | Regola, routing, NAT, sistema di destinazione o punto remoto |
| Solo i trasferimenti grandi si bloccano | MTU/MSS, frammentazione, Path-MTU-Discovery o sovraccarico VPN da verificare |
Per questo controllo preliminare, consultare Verifica delle cause per cui la regola Sophos Firewall non viene applicata, Utilizzare Packet Capture nel WebAdmin e Comprendere NAT su Sophos Firewall. Solo quando regola, NAT, routing e DNS sono plausibili, vale davvero la pena seguire la pista MTU/MSS.
Punti tipici su Sophos Firewall
Su Sophos Firewall possono essere rilevanti diverse aree. Di solito non è interessato l’intero firewall, ma un percorso specifico.
| Area | Perché rilevante |
|---|---|
| Interfaccia WAN | Provider, PPPoE, VLAN o router precedente possono ridurre la dimensione del pacchetto utilizzabile |
| Interfaccia XFRM | IPsec basato su route genera sovraccarico aggiuntivo e richiede una MTU del tunnel adeguata |
| Route SD-WAN | Un percorso può passare attraverso un’altra WAN, MPLS o VPN rispetto a quanto previsto |
| Regola firewall | Le funzionalità di sicurezza o il logging aiutano a delimitare, ma non sono la MTU stessa |
| Punto remoto | L’altro firewall, VPN cloud o lato provider deve gestire correttamente lo stesso percorso |
| Interfaccia Wi-Fi | Da SFOS 22.0 MR1, Sophos menziona anche le regolazioni MTU/MSS per le interfacce Wi-Fi tramite CLI |
Nei VPN basati su route, Sophos Firewall crea interfacce XFRM. I valori XFRM-MTU vengono calcolati a partire dall’interfaccia fisica e dal sovraccarico IPsec massimo e possono essere adattati se necessario. Questo è utile, ma non sostituisce una verifica accurata del percorso effettivo.
Dimostrare prima il percorso
Prima di qualsiasi modifica, si dovrebbe descrivere accuratamente il flusso di dati interessato. Altrimenti si ottimizza rapidamente sull’interfaccia sbagliata.
Domande pratiche:
- Quali IP di origine e destinazione sono interessati?
- Il traffico passa attraverso LAN, VLAN, WAN, XFRM, RED, SD-WAN o VPN di accesso remoto?
- È interessata solo una direzione o entrambe?
- Riguarda TCP, UDP o entrambi?
- I pacchetti piccoli funzionano, ma i trasferimenti più grandi no?
- Viene applicata davvero la regola firewall prevista?
- Ci sono NAT, MASQ, TLS Inspection, IPS o Application Control sul percorso?
- Il punto remoto ha una rotta di ritorno adeguata?
Per la verifica delle regole e del percorso, consultare Test della regola firewall con Log Viewer, Policy Test e Packet Capture. In caso di NAT o MASQ, dovrebbe essere verificato anche Comprendere NAT su Sophos Firewall.
Diagnosi con Log Viewer, Packet Capture e iPerf
Il Log Viewer mostra se il traffico è consentito o scartato. Tuttavia, non dimostra da solo se un pacchetto è troppo grande. Per questo è necessario anche Packet Capture, test riproducibili e un’interpretazione chiara.
Log Viewer
Nel Log viewer verificare prima:
- Selezionare il modulo
Firewallo il modulo di sicurezza interessato. - Filtrare per IP di origine, IP di destinazione e servizio.
- Verificare quale regola firewall corrisponde.
- Assicurarsi che nessuna regola di drop, zona errata o regola NAT errata sia il problema reale.
Se non è visibile alcun traffico, il problema si trova spesso prima del firewall, nel gateway client, VLAN, routing o sul punto remoto.
Packet Capture
Sotto Diagnostics > Tools > Packet capture è possibile restringere il test. È utile un filtro sulla sorgente e destinazione esatta interessata. Successivamente, viene riprodotto un singolo test, ad esempio una chiamata HTTPS, un trasferimento di file o un avvio di applicazione.
L’interpretazione è importante:
| Osservazione | Significato |
|---|---|
| I pacchetti non arrivano al firewall | Verificare client, gateway, VLAN o routing locale |
| I pacchetti entrano nel tunnel, le risposte mancano | Verificare punto remoto, rotta di ritorno o firewall remoto |
| Molte ritrasmissioni su TCP | Verificare perdita di pacchetti, MTU/MSS, qualità WAN o sovraccarico |
| I piccoli test funzionano, i trasferimenti grandi si bloccano | Verificare MTU/MSS o Path-MTU-Discovery |
Per l’uso dello strumento, consultare Utilizzare Packet Capture Tool nel WebAdmin.
iPerf
iPerf è utile quando si può misurare un percorso in modo riproducibile. Un server iPerf proprio sul lato remoto è molto più significativo di un server iPerf pubblico. Se il throughput TCP è basso e sono visibili molte ritrasmissioni, dovrebbero essere verificati MTU/MSS insieme a qualità WAN, CPU, punto remoto e funzionalità di sicurezza.
La procedura è descritta in Risoluzione dei problemi su Sophos Firewall con iPerf e Speedtest.
Modificare i valori solo in modo mirato
Se il sospetto è fondato, le modifiche dovrebbero essere piccole, documentate e reversibili.
Prima di una modifica:
- documentare il valore attuale
- annotare l’interfaccia e il tunnel interessati
- scegliere una finestra di manutenzione o un momento di test controllato
- modificare un solo valore per test
- eseguire un test prima/dopo con la stessa applicazione
- informare il punto remoto se è coinvolto un VPN site-to-site
Nei VPN basati su route, dovrebbe essere verificata prima l’interfaccia XFRM e la connessione IPsec associata. In caso di PPPoE o overlay del provider, spesso l’interfaccia WAN o il percorso del provider è il punto decisivo. In caso di SD-WAN, deve essere chiaro anche quale percorso gateway o VPN viene effettivamente utilizzato. L’articolo Routing SD-WAN per pacchetti di risposta e traffico di sistema aiuta a classificare i percorsi SD-WAN.
⚠️ Non utilizzare hack shell permanenti. La manipolazione diretta dei pacchetti tramite Advanced Shell, script di avvio non documentati o regole di filtro pacchetti spontanee non sono una soluzione pulita per firewall produttivi. Dovrebbero essere verificate prima le funzionalità supportate da Sophos Firewall.
Cosa evitare
Questi modelli causano nella pratica più danni che benefici:
- Impostare MSS in modo estremamente basso per tutte le reti.
- Modificare i valori MTU senza test prima/dopo.
- Testare solo una direzione e trarre conclusioni sull’intero percorso VPN.
- Utilizzare workaround shell invece delle funzioni documentate di WebAdmin o Device Console.
- Ignorare il punto remoto, anche se il percorso di ritorno o il loro MSS-Clamping possono essere coinvolti.
- Assumere che MTU/MSS sia la causa, anche se regola firewall, NAT, routing o DNS non sono stati verificati.
- Lasciare debug log o packet capture attivi a lungo e riempire lo spazio di archiviazione.
Se esistono già script locali o manipolazioni dei pacchetti, si dovrebbe prima leggere Script su Sophos Firewall senza Cronjob: rischi e alternative e documentare accuratamente i vecchi problemi.
Tabella di risoluzione dei problemi
| Sintomo | Area più probabile | Prossimo controllo |
|---|---|---|
| VPN verde, grandi trasferimenti bloccati | MTU/MSS, percorso di ritorno, funzionalità di sicurezza | Packet Capture e iPerf con lo stesso percorso |
| Solo WAN PPPoE interessata | Percorso del provider o MTU WAN | Verificare interfaccia WAN, gateway e informazioni del provider |
| VPN basata su route instabile con pacchetti grandi | MTU XFRM o percorso SD-WAN | Verificare interfaccia XFRM, connessione IPsec e route |
| VoIP su VPN solo parzialmente stabile | SD-WAN, percorso di ritorno, perdita di pacchetti, MTU | Verificare percorso SIP/RTP, route SD-WAN e capture |
| TCP molto lento, UDP normale | MSS, ritrasmissioni, finestra TCP, perdita di pacchetti | Testare iPerf TCP/UDP separatamente |
| I pacchetti piccoli funzionano, i grandi no | Path-MTU-Discovery o frammentazione | Testare consapevolmente le dimensioni dei pacchetti e verificare il punto remoto |
Checklist
Verificare immediatamente:
- Documentati origine, destinazione, servizio e direzione interessati.
- Confermata regola firewall e regola NAT nel Log Viewer.
- Eseguito Packet Capture con filtro stretto.
- Verificato stato IPsec e contatori byte se è coinvolto un VPN.
- Verificato punto remoto e percorso di ritorno.
Se MTU/MSS è probabile:
- Identificata l’interfaccia o il punto XFRM interessato.
- Documentato il valore attuale di MTU/MSS.
- Pianificata solo una modifica per test.
- Stabilito applicazione di test e valore di confronto.
- Coordinata la modifica con il punto remoto se è coinvolto un VPN site-to-site.
Dopo la modifica:
- Testare nuovamente la stessa applicazione.
- Confrontare Log Viewer, Packet Capture o iPerf.
- Documentare nuovi valori e motivazione.
- Verificare il monitoraggio nei giorni successivi.