Объединение серверов в IPSec туннель, как и любой другой VPN сервис (OpenVPN, PPTPD и т.п.), казалось бы что может быть проще, миллионы инженеров ежедневно настраивают и используют эти технологии, но скажите как часто вы встречаетесь с тем что после поднятия VPN туннеля какие то сайты перестают открываться, либо медленно открываются, либо прекращают работать соц сети Skype, telegram и т.п. Инженеры как правило ссылаются это на блокировку VPN IP адреса, но так ли это, давайте разбираться.
Если проанализировать TCP трафик при помощи tcpdump между подключениями к ресурсу до подключения VPN туннеля и после. То разница будет очевидна, VPN добавляет свои служебные заголовки в пакет TCP который по-умолчанию должен быть 1500 байт, но! после добавления служебных заголовков он уже не 1500, а 1400 или даже 13 с чем то.... но сервера и оборудование как правило принимают по прежнему 1500 и происходит обрыв связи (при условии что принимающее оборудование не поддерживает заголовки учитывающие фрагментацию пакета). Этому явлению дали название Path MTU Discovery.
Что бы избежать этой проблемы нужно находу менять размер MTU в TCP пакетах. Реализовывается это в зависимости от ситуации.
