PPPoE ルータ同志で IPsec を構築するときの問題 - nabeの雑記帳_ から。
pf.confにmax-mssを使う事でパケットフラグメントを制御できる。
これ 2003年12月15日_ という大昔にもいろいろと悩んで対処してたなぁ。「tcpmssfixはユーザーモード動作だからパフォーマンス的に悪くね？」とか「メンドクサイからipnatでdst見てmssすりゃいいんじゃね？」とかの議論になって、バータリー的な方法で回避していた。
Software Design 2003年6月号のVPN特集によると、DFフラグ立ててPath MTUしようとしてもVPNでカプセル化されちゃっていてルーター超えてICMP通知が行かないから、MTU値を検出する事が出来ないって話だったよな。（このへんは記憶が曖昧）