<div dir="ltr">sorry my bad. <div>I got confused with my earlier configuration. Actually, both sides are libreswan, one side is vti, other side is ipsec0(pluto+klips). I was using ip link to set mtu to different size. Actually I just tried to set MTU on ipsec0 to a smaller value (less than 1332), and I see similar behavior from the other side. So, basically, MTU only affect sending size, receiving larger MTU is OK. I found this online. </div><div><a href="https://serverfault.com/questions/749110/why-can-i-receive-ethernet-frames-bigger-than-my-current-mtu-size">https://serverfault.com/questions/749110/why-can-i-receive-ethernet-frames-bigger-than-my-current-mtu-size</a><br></div><div><br></div><div>Looks like the behavior is expected.<br></div><div><br></div><div>Thanks,</div><div>Xinwei</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 27, 2018 at 7:03 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 27 Feb 2018, Xinwei Hong wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I have a route-based vpn setting between racoon and libreswan. The racoon side has MTU=1476, and libreswan has MTU=1332. When I ping<br>
with DF flag and pktsize larger than 1332 from libreswan side, pkt would be dropped as expected. However, from racoon side, ping with<br>
DF flag and pktsize=1400 could still reach host on libreswan side. Any idea why the vti01 does not drop the big pkt when DF is set? <br>
</blockquote>
<br></span>
I'm not an expert on the kernel VTI implementation, other then knowing<br>
it is being completely rewritten....<br>
<br>
The VTI device MTU differs from kernel version to kernel version. I'm<br>
not sure why. libreswan doesn't change the MTU. I assume raccoon does<br>
not either? (Does it even support vti, or are you doing this manually?)<br>
<br>
In 3.23 we added support for nopmtudisc=yes|no (default no) which could<br>
maybe be used to change some of this behaviour?<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div>