MTU issues in crypto map tunnel connections

Hello

A strange issue at work has come up so it’s back to the drawing board… i mean GNS3 🙂

The problem is that user cannot connect to an application. It seems that the application sends packets that are too large for the path MTU. After some research, it seems that this problem is described in scenario 8 from the following document.

https://www.cisco.com/c/en/us/support/docs/ip/generic-routing-encapsulation-gre/25885-pmtud-ipfrag.html#t6

Long story short, PMTUD will break if ‚no ip unreachables’ is configured anywhere on the path or if some firewall blocks ICMP. One workaround is to actually clear DF bit on the crypto map entry with ‚set security-association df bit clear’ command.
GNS3 testing shows that this should work but whether the application will like it is a different story.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s