Configurer une Valeur Maximum Transmission Unit (MTU)
L'unité de transmission maximale (MTU) spécifie le plus grand paquet de données, mesuré en octets, qu'un réseau peut transmettre.
Dans la plupart des cas, vous pouvez utiliser les valeurs MTU par défaut sur le Firebox :
- Pour les interfaces virtuelles basées sur le GRE, la MTU est de 1 476 octets.
- Pour les interfaces virtuelles basées sur le VTI, la MTU est de 1 500 octets.
Dans Fireware v12.5 et les versions ultérieures, vous pouvez spécifier une valeur MTU personnalisée pour les interfaces virtuelles BOVPN. Le paramètre MTU est spécifique à chaque interface virtuelle BOVPN individuelle et n'est pas un paramètre global du Firebox.
Vous devrez peut-être spécifier une valeur MTU personnalisée si votre Firebox se connecte à un endpoint VPN tiers qui abandonne les paquets qui dépassent une certaine taille. Pour déterminer si l'endpoint tiers nécessite une valeur MTU personnalisée, consultez la documentation fournie par le fournisseur tiers.
Exigence MTU pour les VPN Microsoft Azure
Pour les connexions VPN Azure, Microsoft requiert une MTU de 1 400 ou un MSS TCP maximum de 1 350. La passerelle VPN Azure abandonne les paquets dont la taille totale est supérieure à 1 400.
Si la passerelle VPN Azure abandonne des paquets de votre Firebox, nous recommandons les paramètres Firebox suivants :
- Fireware v12.5 et versions ultérieures — Dans la configuration de l'interface virtuelle BOVPN, spécifiez une MTU de 1 400.
- Fireware v12.4.1 et versions antérieures — Dans la configuration de l'interface physique, spécifiez une MTU de 1 400.
Vous pouvez également définir la valeur globale MSS TCP à 1 350. Cependant, nous ne recommandons pas cette option car ce paramètre affecte les autres interfaces Firebox et s'applique uniquement au trafic TCP. Par exemple, ce paramètre ne s'applique pas au trafic RDP dans la plupart des cas, car le RDP utilise généralement l'UDP. Si vous utilisez le RDP pour accéder à des serveurs hébergés sur Azure, Azure abandonne les paquets supérieurs à 1 400 octets même si vous spécifiez la valeur MSS TCP recommandée. Pour plus d'informations sur le paramètre MSS TCP, consultez Définir les Paramètres Généraux de Firebox.
Configurer une MTU
Pour configurer une valeur MTU personnalisée dans Fireware Web UI ou Policy Manager, votre Firebox doit disposer de Fireware v12.5.4 ou une version ultérieure. Dans Fireware v12.5 à v12.5.3, vous devez utiliser la CLI pour configurer le paramètre MTU comme spécifié dans la section Fireware v12.5 à v12.5.3.
- Sélectionnez VPN > Interfaces Virtuelles BOVPN.
- Sélectionnez une interface virtuelle et cliquez sur Modifier.
- Cliquez sur Routes VPN.
- Sélectionnez Restreindre la MTU du Tunnel.
- Dans la zone de texte adjacente, conservez la valeur par défaut de 1400 ou saisissez une valeur comprise entre 68 et 9000.
- Sélectionnez VPN > Interfaces Virtuelles BOVPN.
- Sélectionnez une interface virtuelle et cliquez sur Modifier.
- Cliquez sur Routes VPN.
- Sélectionnez Restreindre la MTU du Tunnel.
- Dans la zone de texte adjacente, conservez la valeur par défaut de 1400 ou saisissez une valeur comprise entre 68 et 9000.
Configurer une MTU dans Fireware v12.5 à v12.5.3
Dans Fireware v12.5 à v12.5.3, vous devez utiliser la CLI pour configurer le paramètre MTU. Utilisez cette commande :
diagnose vpn "/ipsec/vif/mtu/set \“[interface_name]\" [MTU]"
Par exemple, pour définir la MTU de l'interface BovpnVif.1 à 1 400, spécifiez :
diagnose vpn "/ipsec/vif/mtu/set \"BovpnVif.1\" 1400"