NTTのフレッツ NGN IPv6 を使って2拠点間でIPsecを張ります。暗号化トンネルの中を通るのはIPv4パケットであり、OSPFまたはEIGRPの動的ルーティングプロトコルのパケットも透過させます。

暗号化トンネル形成にはDMVPNではなく、IPv6アドレスを用いたGRE over IPsecを採用しました。暗号化/認証アルゴリズムは esp-aes-256 / esp-sha-hmac を用い、IKEv2を使っています。一部を抜粋しますが、下記コンフィグによりトンネル自体は正常に張れてupしており通信も出来ています。

(コンフィグ例)

interface GigabitEthernet0

  ipv6 address ～

  ipv6 mtu 1500

!
interface Tunnel1
　ip address 192.168.0.1 255.255.255.255
  tunnel mode gre ipv6
  tunnel source GigabitEthernet0
  tunnel destination dynamic
  tunnel protection ipsec profile default
!
crypto ipsec profile default
   set ikev2-profile FLEX_CLIENT_PROF
   set transform-set IPSEC_TRANSFORM
!

ここまで来て、上記TunnelインターフェースにMTUとMSSを設定していない事に気付きました。

このような環境/設定において、Tunnelインターフェースに設定するMTU値は何になりますでしょうか。

　
NGN環境におけるIPv6のMTU値は1500byteなので、GREとIPsecの下記ヘッダが加算される事を考慮すると、ペイロードとなるオリジナルパケットのMTUは 1414byte、MSSは 1374byteになると計算したのですが、この考えで合っていますでしょうか。誤りがあればご指摘いただけますと幸いです。

・IPv6 Header＝40
・ESP Header＝8
・ESP IV＝16
・GRE Header=4
・ESP Trailer＝18

参考サイト
[IPsec Overhead Calculator Tool]
https://cway.cisco.com/ipsec-overhead-calculator/