WireGuard VPN: MTU richtig einstellen in UniFi Network 10.2
Alles über den MTU-Wert und die Maximale Übertragungseinheit – mit Empfehlungen für Mobilfunk, Starlink, DSL und spanische Glasfaseranbieter (Movistar, Orange & Co.)
UniFi Network 10.2.105
UniFi OS 5.0.16
Stand: April 2026
1. Was ist die MTU überhaupt?
MTU steht für Maximum Transmission Unit – auf Deutsch: Maximale Übertragungseinheit. Sie bestimmt die größte Datenmenge (in Bytes), die in einem einzelnen Netzwerkpaket verschickt werden darf.
Einfach erklärt: Stell dir vor, du verschickst Umzugskartons mit einem Lieferwagen. Jeder Lieferwagen hat eine maximale Ladegröße – das ist die MTU. Wenn ein Karton zu groß ist, muss er aufgeteilt werden (Fragmentierung), oder er passt gar nicht rein und wird zurückgeschickt. Je besser die Kartongröße zum Lieferwagen passt, desto schneller und zuverlässiger kommt alles an.
Der Standardwert für Ethernet-Netzwerke liegt bei 1500 Bytes. Das bedeutet: Jedes Datenpaket, das dein Router verschickt, darf maximal 1500 Bytes groß sein. Bei VPN-Verbindungen wie WireGuard kommt allerdings ein zusätzlicher „Umschlag” (Header/Overhead) dazu – und genau hier wird es spannend.
2. MTU-Wert vs. Maximale Übertragungseinheit – Was ist der Unterschied?
In UniFi Network 10.2.105 findest du bei der WireGuard-VPN-Konfiguration zwei Einstellungen, die auf den ersten Blick ähnlich klingen:
Der MTU-Wert (im WireGuard-Interface)
Das ist die MTU, die direkt auf dem WireGuard-Tunnel-Interface gesetzt wird. Sie bestimmt, wie groß die Datenpakete sein dürfen, die durch den VPN-Tunnel selbst geschickt werden. Dieser Wert muss kleiner sein als die MTU der zugrundeliegenden Internetverbindung, weil WireGuard noch seinen eigenen Header (den „VPN-Umschlag”) um jedes Paket wickelt.
Standard-MTU für WireGuard
WireGuard verwendet standardmäßig eine MTU von 1420 Bytes (bei IPv4) bzw. 1400 Bytes (bei IPv6). Der UniFi-Standard für den Client liegt bei 1280 Bytes – ein konservativer Wert, der fast überall funktioniert.
Die Maximale Übertragungseinheit (am WAN-/Netzwerk-Interface)
Diese Einstellung bezieht sich auf die MTU des physischen Netzwerkinterfaces – also die Verbindung zwischen deinem UniFi-Gateway und dem Internet (WAN). Sie legt fest, wie groß Pakete auf der eigentlichen Internetleitung sein dürfen, bevor sie in den VPN-Tunnel gepackt werden.
Wichtig: Die beiden Werte hängen zusammen!
Der MTU-Wert des WireGuard-Tunnels muss immer kleiner sein als die Maximale Übertragungseinheit des WAN-Interfaces. Denn der WireGuard-Header braucht Platz innerhalb des Gesamtpakets.
Der Zusammenhang auf einen Blick
| Einstellung | Bezieht sich auf | Standardwert | Bedeutung |
|---|---|---|---|
| MTU-Wert | WireGuard-Tunnel (virtuelles Interface) | 1420 (WG Standard) / 1280 (UniFi Client) | Maximale Paketgröße innerhalb des VPN-Tunnels |
| Maximale Übertragungseinheit | WAN-Interface (physische Verbindung) | 1500 (Ethernet) / 1492 (PPPoE) | Maximale Paketgröße auf der Internetleitung inklusive VPN-Header |
3. Warum ist die MTU bei WireGuard so wichtig?
WireGuard verpackt deine Daten in einen verschlüsselten „Umschlag”. Dieser Umschlag hat eine feste Größe:
| Bestandteil | Bytes |
|---|---|
| IPv4-Header (äußerer) | 20 |
| UDP-Header | 8 |
| WireGuard-Header | 32 |
| Overhead gesamt (IPv4) | 60 Bytes |
| IPv6-Header (äußerer, statt IPv4) | 40 |
| Overhead gesamt (IPv6) | 80 Bytes |
Wenn deine Internetleitung eine MTU von 1500 Bytes erlaubt, bleiben bei IPv4 also maximal 1500 − 60 = 1440 Bytes für die eigentlichen Daten im Tunnel. Bei IPv6 sind es nur noch 1500 − 80 = 1420 Bytes.
Wählst du einen zu großen MTU-Wert für den Tunnel, werden die Pakete fragmentiert oder gehen verloren. Das führt zu:
- Langsamen oder abbrechenden Verbindungen
- Webseiten, die nicht laden (besonders HTTPS)
- Timeouts bei Downloads und Uploads
- Instabiler VPN-Verbindung mit häufigen Abbrüchen
4. Wo finde ich die Einstellung in UniFi Network 10.2?
Ab UniFi Network 10.2.105 kannst du den MTU-Wert für WireGuard direkt über die Oberfläche anpassen – ein lang ersehntes Feature, das in früheren Versionen nur umständlich per SSH möglich war.
So gehst du vor:
- Öffne die UniFi Network App unter
Einstellungen - Gehe zu
VPN→WireGuard - Wähle dein VPN-Profil (Server oder Client)
- Unter den erweiterten Einstellungen findest du nun das Feld MTU
- Trage den gewünschten Wert ein und klicke auf
Änderungen übernehmen
Achtung: Verbindung wird kurz unterbrochen!
Wenn du den MTU-Wert änderst, während eine WireGuard-Verbindung aktiv ist, wird die Verbindung kurzzeitig getrennt und automatisch neu aufgebaut.
5. Empfohlene MTU-Werte nach Verbindungstyp
Die folgende Tabelle zeigt dir die empfohlenen WireGuard-MTU-Werte für verschiedene Internetverbindungstypen. Der richtige Wert hängt von der MTU deiner zugrundeliegenden Verbindung und dem verwendeten Protokoll (IPv4 oder IPv6) ab.
| Verbindungstyp | WAN-MTU | WireGuard MTU (IPv4) | WireGuard MTU (IPv6) | Hinweise |
|---|---|---|---|---|
| Glasfaser (DHCP/IPoE) | 1500 | 1440 | 1420 | Bestmöglicher Wert. Kein PPPoE-Overhead. |
| Glasfaser mit PPPoE (Movistar, Orange, Jazztel) | 1492 | 1412 | 1412 | PPPoE nimmt 8 Bytes weg. Typisch für spanische Anbieter! |
| DSL / VDSL mit PPPoE | 1492 | 1412 | 1412 | Gleiche Berechnung wie Glasfaser + PPPoE. |
| Kabel-Internet (DOCSIS) | 1500 | 1440 | 1420 | Kein PPPoE, volle MTU verfügbar. |
| Starlink | 1500 | 1420 | 1400 | Starlink nutzt intern CGNAT und teils zusätzliche Kapselung. Konservativerer Wert empfohlen. |
| Mobilfunk (4G/LTE) | 1400–1500* | 1320–1380 | 1280–1320 | Stark abhängig vom Anbieter und Netzqualität. Im Zweifel: 1280. |
| Mobilfunk (5G) | 1440–1500* | 1360–1400 | 1340–1380 | Etwas besser als 4G, aber weiterhin variabel. |
| Doppeltes NAT / CGNAT | variabel | 1280–1380 | 1280 | Bei CGNAT (z. B. Mobilfunk, manche FTTH-Anbieter): niedrigeren Wert wählen. |
| Satelliten-Internet (nicht Starlink) | variabel | 1280 | 1280 | Maximale Kompatibilität. Höhere Latenz unvermeidbar. |
* Mobilfunkanbieter setzen die MTU unterschiedlich. Die tatsächliche MTU kann je nach Standort, Netzlast und Anbieter variieren.
Faustregel für Einsteiger
Wenn du dir unsicher bist, setze den WireGuard-MTU-Wert auf 1280. Das ist der kleinstmögliche sinnvolle Wert und funktioniert praktisch überall – auch wenn damit etwas Durchsatz verloren geht. Du kannst später schrittweise höher gehen und testen, ob die Verbindung stabil bleibt.
6. Besonderheiten bei spanischen Anbietern
Wer auf Mallorca oder anderswo in Spanien lebt, arbeitet häufig mit Glasfaseranschlüssen (FTTH), die technisch anders funktionieren als etwa in Deutschland. Hier die wichtigsten Details:
Movistar / O2 (Telefónica)
Movistar nutzt für den Internetzugang PPPoE über VLAN 6. Die PPPoE-Zugangsdaten sind öffentlich bekannt (adslppp@telefonicanetpa / adslppp). Durch den PPPoE-Overhead reduziert sich die WAN-MTU auf 1492 Bytes.
Empfohlener WireGuard-MTU-Wert: 1412
Orange / Jazztel
Orange nutzt ebenfalls PPPoE, allerdings über eine andere VLAN (üblicherweise VLAN 832 für Internet). Auch hier gilt eine WAN-MTU von 1492 Bytes.
Empfohlener WireGuard-MTU-Wert: 1412
Vodafone España (ehemals ONO)
Vodafone setzt in vielen Gebieten DHCP (IPoE) statt PPPoE ein, teilweise aber auch PPPoE. Bei DHCP beträgt die WAN-MTU volle 1500 Bytes, bei PPPoE nur 1492.
Empfohlener WireGuard-MTU-Wert: 1420–1440 (DHCP) bzw. 1412 (PPPoE)
Digi (Glasfaser)
Digi nutzt PPPoE mit WAN-MTU 1492.
Empfohlener WireGuard-MTU-Wert: 1412
MásMóvil / Pepephone / Yoigo
Diese Anbieter nutzen in der Regel DHCP (IPoE) und erlauben eine WAN-MTU von 1500 Bytes.
Empfohlener WireGuard-MTU-Wert: 1420–1440
Tipp für UniFi mit Movistar GPON
Wenn du deinen Movistar-Router durch ein UniFi Cloud Gateway (z. B. UCG Max, UDM Pro) mit GPON-SFP-Stick ersetzt, musst du die VLAN 6 und PPPoE manuell konfigurieren. Die MTU wird dabei automatisch auf 1492 gesetzt. Achte darauf, dass der WireGuard-MTU-Wert entsprechend angepasst wird.
| Anbieter | Protokoll | VLAN | WAN-MTU | WireGuard MTU (Empfehlung) |
|---|---|---|---|---|
| Movistar / O2 | PPPoE | 6 | 1492 | 1412 |
| Orange / Jazztel | PPPoE | 832 | 1492 | 1412 |
| Vodafone (DHCP) | IPoE/DHCP | 100 | 1500 | 1420–1440 |
| Vodafone (PPPoE) | PPPoE | 100 | 1492 | 1412 |
| Digi | PPPoE | 20 | 1492 | 1412 |
| MásMóvil / Yoigo | IPoE/DHCP | 20 | 1500 | 1420–1440 |
| Starlink (Mallorca) | DHCP | – | 1500 | 1400–1420 |
Hinweis: VLAN-IDs können je nach Region und Installationszeitpunkt variieren. Im Zweifel die Konfiguration im bestehenden Router prüfen.
7. Typische Probleme bei falschem MTU-Wert
Ein falsch eingestellter MTU-Wert verursacht Symptome, die auf den ersten Blick wie ein komplett anderes Problem aussehen können:
| Symptom | Wahrscheinliche Ursache | Lösung |
|---|---|---|
| VPN verbindet, aber keine Webseiten laden | MTU zu hoch – große HTTPS-Pakete werden verworfen | MTU schrittweise um 20 reduzieren |
| Ping funktioniert, aber Downloads brechen ab | Kleine Ping-Pakete passen, große Datenpakete nicht | MTU auf 1280 setzen, dann hocharbeiten |
| Nur bestimmte Webseiten laden nicht | Seiten mit großen TLS-Handshakes werden fragmentiert | MTU auf 1380 oder niedriger |
| Langsame VPN-Geschwindigkeit | MTU zu niedrig – unnötig viele kleine Pakete | MTU schrittweise erhöhen |
| VPN bricht auf Mobilfunk immer wieder ab | Wechselnde Mobilfunkzellen mit unterschiedlichen MTUs | MTU auf 1280 (sicherster Wert) |
| VPN funktioniert zu Hause, aber nicht unterwegs | Heimnetz hat höhere MTU als Mobilfunk/Hotel-WLAN | Client-MTU auf 1280 setzen |
8. Für Power-User: So berechnest du den optimalen MTU-Wert
Wenn du den bestmöglichen Durchsatz aus deiner WireGuard-Verbindung herausholen willst, lohnt es sich, den MTU-Wert exakt zu berechnen statt einen konservativen Standardwert zu nehmen.
Die Formel
WireGuard MTU = WAN-MTU − WireGuard-Overhead
IPv4: WireGuard MTU = WAN-MTU − 60
IPv6: WireGuard MTU = WAN-MTU − 80
Der WireGuard-Overhead im Detail
| Bestandteil | IPv4 (Bytes) | IPv6 (Bytes) |
|---|---|---|
| Äußerer IP-Header | 20 | 40 |
| UDP-Header | 8 | 8 |
| WireGuard-Paket-Header | 4 | 4 |
| WireGuard-Counter | 8 | 8 |
| WireGuard-Poly1305 MAC | 16 | 16 |
| Padding (4-Byte-Aligned) | 4 | 4 |
| Gesamt-Overhead | 60 | 80 |
Berechnungsbeispiele
| Szenario | WAN-MTU | Abzug | Ergebnis |
|---|---|---|---|
| Glasfaser ohne PPPoE, IPv4 | 1500 | − 60 | 1440 |
| Glasfaser ohne PPPoE, IPv6 | 1500 | − 80 | 1420 |
| Movistar FTTH (PPPoE), IPv4 | 1492 | − 60 | 1432 |
| Movistar FTTH (PPPoE), IPv6 | 1492 | − 80 | 1412 |
| Movistar PPPoE + IPv6 (empf.) | 1492 | − 80 | 1412 ✅ |
| Starlink (konservativ), IPv6 | 1500 | − 80 − 20* | 1400 |
* Bei Starlink empfiehlt es sich, zusätzlich 20 Bytes Puffer abzuziehen, da die Verbindung über Satelliten und CGNAT läuft und gelegentlich zusätzliche Kapselung stattfindet.
Warum 1412 der „goldene Wert” für Spanien ist
Da die meisten spanischen FTTH-Anbieter PPPoE verwenden und viele Clients mittlerweile über IPv6 kommunizieren, ist 1412 der optimale Kompromiss: Er berücksichtigt sowohl den PPPoE-Overhead (8 Bytes) als auch den maximalen WireGuard-Overhead (80 Bytes bei IPv6). So hast du maximalen Durchsatz bei voller Kompatibilität.
MSS Clamping – ein wichtiges Detail
Neben der MTU gibt es noch den MSS-Wert (Maximum Segment Size). Er betrifft nur TCP-Verbindungen und wird in der Regel automatisch angepasst. Die Formel lautet:
MSS = MTU − 40 (IPv4) bzw. MTU − 60 (IPv6)
Bei einer WireGuard-MTU von 1412 ergibt sich also ein MSS von 1372 (IPv4) bzw. 1352 (IPv6). UniFi-Gateways setzen MSS Clamping in der Regel automatisch. Solltest du dennoch Probleme mit bestimmten Webseiten haben, überprüfe, ob MSS Clamping auf dem WireGuard-Interface aktiv ist.
9. MTU testen und überprüfen
Um den optimalen MTU-Wert empirisch zu ermitteln, kannst du auf deinem Computer einen einfachen Ping-Test durchführen:
Auf macOS / Linux (Terminal)
ping -D -s 1372 -c 5 8.8.8.8
Auf macOS verhindert -D die Fragmentierung. Wenn die Pakete durchkommen, ist dein Pfad für diese Größe geeignet. Erhöhe schrittweise um 10, bis Pakete verloren gehen – der letzte funktionierende Wert plus 28 (IP+ICMP-Header) ergibt deine Pfad-MTU.
Auf Windows (CMD)
ping -f -l 1372 8.8.8.8
Das -f-Flag verhindert Fragmentierung. Bei der Fehlermeldung „Paket müsste fragmentiert werden” den Wert verringern.
Über die UniFi-Konsole (SSH)
Du kannst dich per SSH auf dein UniFi-Gateway verbinden und den aktuellen MTU-Wert prüfen:
ip link show wg0
Die Ausgabe zeigt dir unter anderem den aktuell gesetzten MTU-Wert für das WireGuard-Interface.
Vorgehensweise zum Optimieren
-
Starte mit dem konservativen Wert 1280 und teste die Verbindung.
-
Erhöhe schrittweise um 20 (1300, 1320, 1340 …).
-
Teste nach jeder Änderung: VPN-Aufbau, Webseitenladen, Speed-Test.
-
Der höchste stabile Wert ist dein optimaler MTU-Wert.
10. Zusammenfassung & Fazit
Mit UniFi Network 10.2.105 und UniFi OS 5.0.16 hat Ubiquiti endlich die Möglichkeit geschaffen, den MTU-Wert für WireGuard-VPN-Verbindungen direkt über die Oberfläche anzupassen. Das war lange ein Schmerzpunkt – besonders für Nutzer mit PPPoE-Verbindungen oder Mobilfunk-basiertem Internet.
Die wichtigsten Punkte:
| Frage | Antwort |
|---|---|
| Was ist der Unterschied zwischen „MTU-Wert” und „Maximale Übertragungseinheit”? | MTU-Wert = Paketgröße im VPN-Tunnel. Maximale Übertragungseinheit = Paketgröße auf der physischen Leitung. Die Tunnel-MTU muss kleiner sein. |
| Welchen Wert soll ich nehmen, wenn ich unsicher bin? | 1280 – funktioniert überall, auch wenn nicht optimal. |
| Bester Wert für Movistar/Orange auf Mallorca? | 1412 – berücksichtigt PPPoE + IPv6-Overhead. |
| Bester Wert für Starlink? | 1400–1420 – mit etwas Puffer für CGNAT-Overhead. |
| Bester Wert für Mobilfunk? | 1280 – maximale Kompatibilität bei wechselnden Netzen. |
Häufiger Fehler
Setze den WireGuard-MTU-Wert niemals auf 1500 oder höher. Das führt fast immer zu Problemen, da kein Platz mehr für den WireGuard-Overhead bleibt. Selbst bei einer WAN-MTU von 1500 darf die Tunnel-MTU maximal 1440 (IPv4) bzw. 1420 (IPv6) betragen.