Resumo rapido: MTU e o pacote maximo que cabe no enlace. MSS e o pedaco de payload TCP dentro desse pacote. Para Ethernet (1500 bytes) com IPv4, o MSS otimo e 1460. PPPoE corta para 1452, e VPN tipica para 1360.
Calculadora MTU MSS: como ajustar pacote TCP para evitar fragmentacao
Quando uma conexao TCP sobe lenta, perde sessao em VPN ou trava em download grande mesmo com banda sobrando, frequentemente o culpado e fragmentacao de pacote. O MTU (Maximum Transmission Unit) e o tamanho maximo de pacote que um enlace aceita. O MSS (Maximum Segment Size) e o tamanho maximo de payload TCP que cabe sem estourar o MTU.
Calcular o MSS correto e simples: subtraia do MTU os 20 bytes do cabecalho TCP e os 20 bytes do cabecalho IPv4 (ou 40 do IPv6). O ajuste fino vem quando ha PPPoE, IPsec, GRE ou WireGuard no caminho, cada um adicionando overhead proprio.
Por que fragmentacao prejudica o desempenho
Quando um pacote excede o MTU de algum enlace no caminho, o roteador precisa quebra-lo em fragmentos menores. O destino remonta. Esse processo custa CPU, aumenta latencia e gera retransmissoes quando algum fragmento se perde. Pior: muitos firewalls descartam fragmentos por padrao de seguranca, fazendo a conexao falhar silenciosamente.
Por isso o TCP negocia MSS no handshake de 3 vias. Cada lado anuncia o maior MSS que aceita receber, e ambos passam a usar o menor. Quando o MSS esta bem dimensionado, nenhum pacote precisa ser fragmentado no caminho.
Valores padrao por tipo de enlace
| Enlace | MTU | MSS IPv4 | MSS IPv6 |
|---|---|---|---|
| Ethernet padrao | 1500 | 1460 | 1440 |
| PPPoE (DSL, fibra) | 1492 | 1452 | 1432 |
| IPv6 minimo | 1280 | 1240 | 1220 |
| VPN IPsec tipica | 1400 | 1360 | 1340 |
| Jumbo frame (data center) | 9000 | 8960 | 8940 |
MSS clamping: quando o roteador reescreve o pacote
Em VPN site to site ou em conexao PPPoE, o cliente final nao sabe que existe um tunel reduzindo o MTU. Por isso, muitos roteadores aplicam MSS clamping: durante o handshake TCP, eles interceptam o anuncio de MSS e reescrevem para um valor menor que cabe dentro do tunel. Sem clamping, conexoes que dependem do bit "Don't Fragment" simplesmente travam.
Configurar clamping e prática comum em MikroTik, OPNsense, pfSense e roteadores de operadora. O valor de MSS deve casar com o MTU efetivo do tunel menos os cabecalhos.
Path MTU Discovery depende de ICMP
O mecanismo padrao para descobrir MTU ao longo do caminho usa pacotes ICMP "Fragmentation Needed". Quando algum firewall bloqueia ICMP de forma agressiva, o PMTUD falha e a conexao trava em silencio. Por isso, ICMP nao deve ser totalmente bloqueado em equipamentos de rede de transito.
Como descobrir o MTU real de uma linha
O caminho pratico e usar ping com bit "Don't Fragment" ativado e ir subindo o tamanho do payload ate falhar. No Windows: ping 8.8.8.8 -f -l 1472. Se falhar, reduza. O maior tamanho que passa, somado a 28 (20 de IP + 8 de ICMP), e o MTU do caminho.
No Linux: ping -M do -s 1472 8.8.8.8. Em rede com PPPoE, o resultado tipico e 1492. Em fibra direta, 1500. Em VPN, costuma ficar entre 1380 e 1440.
Calculo de MSS para IPv4 e IPv6
A formula muda conforme a versao do IP por causa do tamanho do cabecalho:
- IPv4: MSS = MTU menos 20 (cabecalho IP) menos 20 (cabecalho TCP) = MTU menos 40 bytes
- IPv6: MSS = MTU menos 40 (cabecalho IP) menos 20 (cabecalho TCP) = MTU menos 60 bytes
O cabecalho IPv6 e fixo em 40 bytes (contra 20 do IPv4 sem opcoes) por ja embutir campos que no IPv4 eram opcionais. Em compensacao, IPv6 simplifica processamento de roteador e elimina necessidade de fragmentacao intermediaria, ja que fragmentacao em IPv6 e responsabilidade exclusiva do remetente. O MTU minimo obrigatorio em IPv6 e 1280 bytes (qualquer enlace que carregue IPv6 precisa suportar ao menos esse valor).
Cenario brasileiro: por que fibra residencial usa 1492
Operadoras brasileiras como Vivo Fibra, Claro NET, TIM Live e Oi Fibra entregam internet via PPPoE (PPP over Ethernet) na maioria das instalacoes residenciais. O PPPoE adiciona 8 bytes de cabecalho proprio sobre o quadro Ethernet, reduzindo o MTU efetivo de 1500 para 1492 bytes. Como consequencia, o MSS otimo cai de 1460 para 1452 em IPv4.
Em conexao FTTH pura (sem PPPoE, com IP atribuido diretamente por DHCP no equipamento da operadora), o MTU permanece 1500. Algumas operadoras migraram dessa arquitetura por simplicidade operacional, mas PPPoE ainda predomina em fibra residencial no Brasil em 2026.
Path MTU Discovery (PMTUD) e o problema do black hole
O Path MTU Discovery e o mecanismo padrao para descobrir o menor MTU ao longo de um caminho. Funciona assim: o remetente envia pacote grande com bit "Don't Fragment" ligado. Se algum roteador no caminho tem MTU menor, responde com ICMP tipo 3 codigo 4 ("Fragmentation Needed"), informando o MTU correto. O remetente reduz e retransmite. Esse processo se repete ate todos os saltos aceitarem o tamanho.
O PMTUD black hole acontece quando algum firewall no caminho descarta ICMP de forma agressiva sem responder. O remetente continua mandando pacotes grandes que somem silenciosamente. A conexao TCP estabelece o handshake (pacotes pequenos passam), mas trava ao transferir dado real (pacotes grandes caem). Sintomas: site carrega HTML mas trava no CSS pesado, download trava em 1 porcento, VPN conecta mas nao passa trafego. A solucao definitiva e habilitar MSS clamping no roteador de borda ou liberar ICMP tipo 3 nos firewalls intermediarios.
Jumbo frames em data center
Em redes de data center, switches e NICs modernos suportam jumbo frames de ate 9000 bytes. O ganho principal e reducao de overhead: cada pacote carrega mais payload em relacao ao cabecalho fixo, e a CPU processa menos interrupcoes para a mesma quantidade de dados. Em iSCSI, NFS e replicacao de banco entre nos do cluster, jumbo frames podem melhorar throughput em 10 a 30 porcento.
O cuidado e que todos os equipamentos no caminho (NIC origem, switch 1, switch 2, NIC destino) precisam estar configurados para o mesmo jumbo MTU. Um unico salto com MTU 1500 anula o ganho e gera problema de PMTUD. Por isso, jumbo frames vivem confinados a segmentos controlados (back-end de servidor, VLAN de storage), nao em conexao com internet publica.
Se sua conexao esta sofrendo com perda de pacotes ou lentidao silenciosa por fragmentacao, comece pelo guia como configurar o MTU correto. Para diagnostico mais amplo, veja causas de perda de pacotes e internet lenta: diagnostico passo a passo.
MTU e MSS: Perguntas Frequentes
MTU é o tamanho máximo do quadro no enlace; MSS é o tamanho máximo de segmento TCP, sempre menor por descontar cabeçalhos IP e TCP.
Em conexões PPPoE comuns no Brasil, a MTU efetiva costuma ficar em 1492 bytes, deixando 1452 bytes de MSS em IPv4.
Encapsulamento adicional reduz a MTU efetiva. Sem MSS clamping, segmentos grandes são descartados em algum salto, gerando travamento.
É padrão Ethernet, mas túneis, VPN e algumas redes móveis trabalham com valores menores, exigindo ajuste no equipamento de borda.
Sim. O cabeçalho IPv6 fixo tem 40 bytes contra 20 do IPv4, reduzindo a MSS disponível em 20 bytes em comparação direta de mesma MTU.
Em equipamentos Linux usa-se regra iptables TCPMSS; em roteadores Mikrotik, Cisco e Huawei há comandos próprios em interface ou firewall.