Verificar MTU e MSS no Sophos Firewall em caso de problemas de VPN
Quando uma conexão VPN é estabelecida, mas algumas aplicações ainda assim ficam suspensas, geralmente pensa-se primeiro em regras de firewall, DNS ou no ponto remoto. Isso está correto, mas não é completo. Em pacotes grandes, overhead de IPsec, PPPoE, SD-WAN ou VPNs baseadas em rotas, MTU e MSS também podem ser a causa.
É típico um cenário de erro que não parece um bloqueio claro: ping funciona, pequenas páginas web carregam, mas transferências de arquivos falham, RDP congela, logins HTTPS ficam parados ou VoIP torna-se instável. Este artigo posiciona questões de MTU e MSS no Sophos Firewall, sem alterar valores cegamente ou criar soluções perigosas em shell.
Para fundamentos sobre interfaces, zonas e XFRM, consulte primeiro Configurar zonas e interfaces no Sophos Firewall. Se um túnel IPsec não for estabelecido ou nenhuma associação de segurança for instalada, Resolução de problemas de VPN IPsec no Sophos Firewall é um melhor ponto de partida.
MTU e MSS explicados brevemente
A MTU descreve o tamanho máximo que um pacote pode ter em uma interface ou caminho. Se um pacote for maior do que o permitido pelo caminho, ele deve ser fragmentado ou será descartado. Em VPNs, isso é especialmente relevante porque o IPsec adiciona cabeçalhos adicionais.
A MSS refere-se ao TCP e descreve o tamanho da carga útil de um segmento TCP. Se a MSS permanecer muito alta, embora o caminho real através de VPN, PPPoE ou outras sobreposições seja menor, surgem problemas típicos de TCP: retransmissões, paradas, conexões lentas ou interrupções em grandes volumes de dados.
Importante: MTU e MSS não são valores de ajuste que se reduzem aleatoriamente até que funcione de alguma forma. Ambos os valores pertencem ao caminho. Antes de uma alteração, deve estar claro qual interface, direção, protocolo e túnel são afetados.
Quando suspeitar de MTU ou MSS
Problemas de MTU e MSS geralmente aparecem apenas em certas aplicações ou tamanhos de pacotes.
Indicações típicas:
- O túnel VPN está conectado, mas downloads ou uploads maiores ficam suspensos.
- RDP, SMB, HTTPS, backup, ERP ou aplicações em nuvem funcionam apenas parcialmente.
- Pequenos testes ICMP funcionam, transferências de dados maiores não.
- VoIP ou aplicações de conferência são instáveis apenas em certos caminhos de VPN ou SD-WAN.
- O problema afeta apenas PPPoE, uma WAN específica, uma rota IPsec baseada em rotas ou uma interface XFRM.
- iPerf mostra muitas retransmissões ou throughput TCP altamente variável.
- Após uma mudança de provedor, atualização de firmware, reestruturação de SD-WAN ou migração de VPN, um novo padrão de erro aparece de repente.
Esses sintomas ainda não provam um problema de MTU. No entanto, são uma boa razão para incluir MTU e MSS na análise.
Não confundir com problemas de regras, NAT ou DNS
MTU/MSS geralmente não é o primeiro ponto de verificação. Primeiro, deve estar claro que o tráfego está seguindo o caminho esperado. Caso contrário, os tamanhos dos pacotes são ajustados, embora na verdade uma regra, NAT, DNS ou o caminho de retorno estejam errados.
| Observação | Mais provável do que MTU/MSS |
|---|---|
| Nenhum tráfego aparece no Log Viewer | Logging, gateway do cliente, VLAN, rota ou fluxo de teste incorreto |
| A ID da regra de firewall errada é aplicada | Ordem das regras, zona, origem, destino, serviço ou correspondência de usuário |
| A ID da regra NAT não corresponde | Ordem do NAT, campos originais, MASQ/SNAT/DNAT ou direção incorreta |
| Nome resolve para um IP inesperado | DNS, DNS dividido, objeto FQDN, CDN ou IPv6 |
| Testes pequenos e grandes falham igualmente | Regra, roteamento, NAT, sistema de destino ou ponto remoto |
| Apenas transferências grandes ficam suspensas | Verificar MTU/MSS, fragmentação, descoberta de MTU de caminho ou overhead de VPN |
Para esta pré-verificação, consulte Verificar causas de regra de firewall não correspondida no Sophos Firewall, Usar captura de pacotes no WebAdmin e Entender NAT no Sophos Firewall. Somente quando regra, NAT, roteamento e DNS forem plausíveis, vale a pena seguir a pista de MTU/MSS.
Locais típicos no Sophos Firewall
No Sophos Firewall, várias áreas podem ser relevantes. Geralmente, não é toda a firewall que é afetada, mas um caminho específico.
| Área | Por que relevante |
|---|---|
| Interface WAN | Provedor, PPPoE, VLAN ou roteador anterior podem reduzir o tamanho de pacote utilizável |
| Interface XFRM | IPsec baseado em rotas gera overhead adicional e requer MTU de túnel apropriada |
| Rota SD-WAN | Um caminho pode passar por outra WAN, MPLS ou VPN do que o esperado |
| Regra de firewall | Recursos de segurança ou logging ajudam na delimitação, mas não são a própria MTU |
| Ponto remoto | A outra firewall, VPN em nuvem ou lado do provedor deve atender corretamente o mesmo caminho |
| Interface Wi-Fi | Desde SFOS 22.0 MR1, a Sophos também menciona ajustes de MTU/MSS para interfaces Wi-Fi via CLI |
Em IPsec baseado em rotas, o Sophos Firewall cria interfaces XFRM. Os valores de MTU de XFRM são calculados com base na interface física e no overhead máximo de IPsec e podem ser ajustados conforme necessário. Isso é útil, mas não substitui uma verificação limpa do caminho real.
Primeiro, prove o caminho
Antes de qualquer alteração, deve-se descrever claramente o fluxo de dados afetado. Caso contrário, otimiza-se rapidamente na interface errada.
Perguntas práticas:
- Quais IPs de origem e destino são afetados?
- O tráfego passa por LAN, VLAN, WAN, XFRM, RED, SD-WAN ou VPN de acesso remoto?
- Apenas uma direção é afetada ou ambas?
- Afeta TCP, UDP ou ambos?
- Pacotes pequenos funcionam, mas transferências maiores não?
- A regra de firewall esperada realmente é aplicada?
- Há NAT, MASQ, inspeção TLS, IPS ou controle de aplicações no caminho?
- O ponto remoto tem uma rota de retorno adequada?
Para a verificação de regras e caminhos, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture. Em caso de NAT ou MASQ, também deve ser verificado Entender NAT no Sophos Firewall.
Diagnóstico com Log Viewer, Packet Capture e iPerf
O Log Viewer mostra se o tráfego é permitido ou descartado. No entanto, ele não prova sozinho se um pacote é muito grande. Para isso, é necessário Packet Capture, testes reproduzíveis e uma interpretação clara.
Log Viewer
No Log viewer, verifique primeiro:
- Selecione o módulo
Firewallou o módulo de segurança afetado. - Filtre por IP de origem, IP de destino e serviço.
- Verifique qual regra de firewall corresponde.
- Certifique-se de que nenhuma regra de drop, zona incorreta ou regra NAT incorreta seja o problema real.
Se nenhum tráfego for visível, o problema geralmente está antes da firewall, no gateway do cliente, VLAN, roteamento ou no ponto remoto.
Packet Capture
Em Diagnostics > Tools > Packet capture, pode-se restringir mais o teste. Um filtro para a origem e destino exatos afetados é útil. Em seguida, um único teste é reproduzido, por exemplo, uma chamada HTTPS, uma transferência de arquivo ou o início de uma aplicação.
A interpretação é importante:
| Observação | Significado |
|---|---|
| Pacotes não chegam à firewall | Verifique cliente, gateway, VLAN ou roteamento local |
| Pacotes entram no túnel, respostas faltam | Verifique ponto remoto, rota de retorno ou firewall remota |
| Muitas retransmissões em TCP | Verifique perda de pacotes, MTU/MSS, qualidade da WAN ou sobrecarga |
| Testes pequenos funcionam, transferências grandes ficam suspensas | Verifique MTU/MSS ou descoberta de MTU de caminho |
Para o uso da ferramenta, consulte Usar ferramenta de captura de pacotes no WebAdmin.
iPerf
iPerf é útil quando se pode medir um caminho de forma reproduzível. Um servidor iPerf próprio no lado remoto é significativamente mais informativo do que um servidor iPerf público. Se o throughput TCP for baixo e muitas retransmissões forem visíveis, MTU/MSS deve ser verificado junto com qualidade da WAN, CPU, ponto remoto e recursos de segurança.
O procedimento está em Resolução de problemas no Sophos Firewall com iPerf e Speedtest.
Alterar valores apenas de forma direcionada
Se a suspeita for fundamentada, as alterações devem ser pequenas, documentadas e reversíveis.
Antes de uma alteração:
- documentar o valor atual
- anotar a interface e o túnel afetados
- escolher uma janela de manutenção ou momento de teste controlado
- alterar apenas um valor por teste
- realizar teste antes/depois com a mesma aplicação
- informar o ponto remoto, se um VPN site-to-site for afetado
Em VPNs baseadas em rotas, deve-se primeiro verificar a interface XFRM e a conexão IPsec associada. Em PPPoE ou sobreposições de provedor, geralmente a interface WAN ou o caminho do provedor é o ponto decisivo. Em SD-WAN, deve estar claro qual gateway ou caminho de VPN está realmente sendo usado. O artigo Roteamento SD-WAN para pacotes de resposta e tráfego do sistema ajuda a entender os caminhos SD-WAN.
⚠️ Não use hacks permanentes em shell. Manipulação direta de pacotes via Advanced Shell, scripts de inicialização não documentados ou regras de filtro de pacotes espontâneas não são uma solução limpa para firewalls em produção. Primeiro, devem ser verificadas as funções suportadas pelo Sophos Firewall.
O que evitar
Esses padrões causam mais danos do que benefícios na prática:
- Definir MSS extremamente baixo para todas as redes de forma geral.
- Alterar valores de MTU sem teste antes/depois.
- Testar apenas uma direção e concluir sobre todo o caminho VPN.
- Usar soluções alternativas em shell em vez de funções do WebAdmin ou da console de dispositivos documentadas.
- Ignorar o ponto remoto, embora o caminho de retorno ou o clamping de MSS possam estar envolvidos.
- Assumir MTU/MSS como causa, embora regra de firewall, NAT, roteamento ou DNS não tenham sido verificados.
- Deixar logs de depuração ou capturas de pacotes rodando por muito tempo e encher o espaço de armazenamento.
Se já existirem scripts locais ou manipulações de pacotes, deve-se primeiro ler Scripts no Sophos Firewall sem Cronjob: Riscos e Alternativas e documentar claramente o legado.
Tabela de resolução de problemas
| Sintoma | Área mais provável | Próxima verificação |
|---|---|---|
| VPN verde, transferências grandes ficam suspensas | MTU/MSS, caminho de retorno, recurso de segurança | Packet Capture e iPerf com o mesmo caminho |
| Apenas WAN PPPoE afetada | Caminho do provedor ou MTU da WAN | Verificar interface WAN, gateway e informações do provedor |
| VPN baseada em rotas instável com pacotes grandes | MTU de XFRM ou caminho SD-WAN | Verificar interface XFRM, conexão IPsec e rota |
| VoIP sobre VPN apenas parcialmente estável | SD-WAN, caminho de retorno, perda de pacotes, MTU | Verificar caminho SIP/RTP, rota SD-WAN e captura |
| TCP muito lento, UDP normal | MSS, retransmissões, janela TCP, perda de pacotes | Testar iPerf TCP/UDP separadamente |
| Pacotes pequenos funcionam, grandes não | Descoberta de MTU de caminho ou fragmentação | Testar tamanhos de pacotes conscientemente e verificar ponto remoto |
Lista de verificação
Verifique imediatamente:
- Fonte, destino, serviço e direção afetados documentados.
- Regra de firewall e regra NAT confirmadas no Log Viewer.
- Packet Capture realizado com filtro restrito.
- Status do IPsec e contadores de bytes verificados, se um VPN estiver envolvido.
- Ponto remoto e caminho de retorno verificados.
Se MTU/MSS for provável:
- interface ou ponto XFRM afetado identificado.
- valor atual de MTU/MSS documentado.
- apenas uma alteração planejada por teste.
- aplicação de teste e valor de comparação definidos.
- alteração coordenada com o ponto remoto, se um VPN site-to-site for afetado.
Após a alteração:
- testar novamente a mesma aplicação.
- comparar Log Viewer, Packet Capture ou iPerf.
- documentar novos valores e justificativa.
- monitorar nos próximos dias.