Ending the "silent drop": how Dynamic Path MTU Discovery makes the Cloudflare One Client more resilient

You’ve likely seen this support ticket countless times: a user’s Internet connection that worked just fine a moment ago for Slack and DNS lookups is suddenly hung the moment they attempt a large file upload, join a video call, or initiate an SSH session. The culprit isn't usually a bandwidth shortage or service outage issue, it is the "PMTUD Black Hole" — a frustration that occurs when packets are too large for a specific network path, but the network fails to communicate that limit back to the sender. This situation often happens when you’re locked into using networks you do not manage or vendors with maximum transmission unit (MTU) restrictions, and you have no means to address the problem.

今日は、これらのレガシーなネットワーキング制約を乗り越えます。Path MTU Discovery (PMTUD) を実装することで、Cloudflare One Client は受動的な観察者から経路発見の能動的参加者へと進化しました。Dynamic Path MTU Discovery により、クライアントは MTUs above 1281 bytes のほとんどのネットワーク経路に対して最適なパケットサイズへ賢く動的に適応できます。これにより、高速な企業バックボーン上でも制約の厳しいセルラー網上でも、ユーザーの接続は安定したまま保たれます。

「最新のセキュリティ」と「レガシーインフラ」の課題

解決策を理解するには、最新のセキュリティプロトコルが多様なグローバルインターネットインフラとどのように相互作用するかを見なければなりません。MTU はフラグメンテーションを避けてネットワーク上で送信できる最大のデータパケットサイズを表します。標準的なイーサネットでは通常1500 bytesです。

Cloudflare One Client は FIPS 140-2 compliance のようなエンタープライズ要件を満たすために進化してきたため、各パケットに含まれるメタデータや暗号オーバーヘッドは自然に増えています。これはユーザーに最高レベルの保護を提供するための意図的な選択です。しかし世界中の多くのインフラは数十年前に1500-byteを前提に構築されており、LTE/5G、衛星リンク、FirstNet のような公共安全ネットワークなどの特殊ネットワークでは、実際に利用できるデータ領域が標準より小さいことがよくあります。

例えば、暗号化されたパケットが 1300 bytes の制限を持つ古いルーターに到達したとき、本来であればそのルーターは ICMP メッセージ（"Destination Unreachable"）を送って送信元に小さいサイズを要求するべきです。しかしそれが常に起きるとは限りません。ファイアウォールやミドルボックスがこれらの ICMP フィードバックをサイレントに破棄すると "Black Hole" が発生します。フィードバックがないと送信側は大きなパケットを送り続け、アプリケーションは接続がタイムアウトするまで "ゾンビ" 状態で待ち続けます。

Cloudflare の解決策：PMTUD による能動的プローブ

Cloudflare の RFC 8899 Datagram Packetization Layer Path MTU Discovery (PMTUD) の実装は、これら脆弱なレガシーフィードバックループへの依存を取り除きます。モダンなクライアントが MASQUE プロトコルを利用し、Cloudflare のオープンソース QUIC ライブラリの上で動作しているため、クライアントは経路に対するエンドツーエンドの能動的な確認を行えます。

エラー通知を待つ代わりに、クライアントは暗号化された異なるサイズのパケットを Cloudflare edge に対して積極的に送信します。プローブはサポートされる MTU 範囲の上限から中点へ向けて試験を行い、クライアントが正確な MTU を絞り込みます。これはバックグラウンドで行われる洗練された非破壊的ハンドシェイクです。Cloudflare edge が特定サイズのプローブを受け取れば確認応答を返し、プローブが失われればクライアントはそのネットワーク区間の正確な容量を即座に把握します。

その後、クライアントは仮想インターフェースの MTU をオンザフライで動的に調整し、接続開始時に確立した経路の容量を定期的に検証します。たとえばユーザーが駅の 1500-MTU の Wi‑Fi からフィールドの 1300-MTU のセルラーバックホールへ移動しても、遷移はシームレスです。クライアントは既に暗号化パケットにとって最適な経路を交渉しているため、アプリケーションセッションは中断されません。

実際の影響：ファーストレスポンダーからハイブリッドワーカーまで

この技術的変化はミッションクリティカルな接続性に大きな意味を持ちます。

• ファーストレスポンダー：車載ルーターを使う現場では、複雑な NAT トラバーサルや優先ルーティング層により利用可能な MTU が著しく小さくなることがあります。PMTUD がなければ、CAD（Computer Aided Dispatch）などの重要なソフトウェアはタワーの切り替えや信号変動時に頻繁に切断される可能性があります。能動的な検出により、Cloudflare One Client はアプリケーションを基礎ネットワークの変動から守る“スティッキー”な接続を維持します。
• ハイブリッドワーカー：海外のホテルなどで作業する "road warrior" は、古いミドルボックスや複雑なダブルNAT環境に遭遇しがちです。PMTUD を使えば、ユーザーが変化を感じる前に数秒でボトルネックを特定し、ビデオ通話の途切れやファイル転送の停止を回避します。

デバイスで PMTUD を利用するには

MASQUE プロトコルを使用している Cloudflare One Client をお使いの方は、今すぐ Path MTU Discovery を無料で試せます。Windows、macOS、Linux 向けに Cloudflare edge 経由でトラフィックをルーティングし、PMTUD による速度と安定性を得るための詳しいドキュメントを用意しています。

Cloudflare One を初めて利用する場合も、最初の 50 users を無料で保護できます。Simply create an account , download the Cloudflare One Client , and follow our onboarding guide に従って、チーム全体の接続をより速く、より安定したものにしてください。

Cloudflare's connectivity cloud は企業ネットワーク全体を保護し、customers build Internet-scale applications efficiently、任意のウェブサイトやインターネットアプリケーションを加速し、DDoS 攻撃を防ぎ、ハッカーから守り、Zero Trust への道のりを支援します。Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer。To learn more about our mission to help build a better Internet, start here。If you're looking for a new career direction, check out our open positions。

タグ:

• server-island-start
• Cloudflare Zero Trust
• Cloudflare One
• Cloudflare One Client
• Zero Trust
• Connectivity
• SASE