안녕하세요, Mikrotik 장비에서, 사이트 간 IPSEC VPN을 최소한의 MTU 오버헤드로 생성하는 방법이 궁금합니다. 이렇게 하면 패킷 데이터에 더 많은 MTU가 남게 됩니다.
IPSEC 알고리즘과 보안 프로토콜의 MTU 크기 차트가 있나요?
분할 문제에 대해…
어디서 분할하나요? 암호화 전에 (원시 데이터 분할) 또는 암호화 후에 (IPsec 패킷 분할)인가요?
IPsec 오버헤드를 크게 줄일 수는 없어요. 사용할 수 있다면 IPsec 트래픽 모드를 변경하는 것도 고려할 수 있는데, 예를 들어 ESP를 전송 모드로 또는 터널 모드로, NAT-Traversal이 포함된 터널 모드로 할 수 있습니다.
암호화 전 분할 문제라면 네트워크 내에서 MTU 크기를 줄이거나 (명백히) TCP 패킷에 대해 TCP-MSS를 사용하는 것도 좋은 방법입니다. TCP-MSS는 TCP 패킷 크기를 제한해 터널의 MTU 내에 유지할 수 있습니다.
이건 Mikrotik에만 국한된 건 아니지만, 고려해야 할 사항과 해야 할 일을 잘 요약한 글입니다:
https://help.zscaler.com/zia/determining-the-optimal-mtu-for-gre-or-ipsec-tunnels
Mikrotik의 LAN 인터페이스에서 MTU를 낮추세요.
아마 나는 멍청한 것 같은데, PMTUD는 이 문제를 해결하는 게 아니지 않나요?
MTU와 TCP MSS 조정을 (클램핑) 합니다. 터널 인터페이스에 1400 MTU, 캡슐화된 트래픽에는 TCP MSS 1350을 사용하세요.
https://cway.cisco.com/tools/ipsec-overhead-calc/
그것을 계산해주는 도구입니다.
시스코에서는 DF 비트를 무시하지 않도록 구성할 수 있습니다.