• Policy based ipsec vpn is configured
• "Tx Drop Fragmentation Needed" counters are incrementing for TX drops

edge01> get ipsecvpn tunnel stats
Thu Dec 11 2025 UTC 14:27:10.141
Interface UID                      : 3##
Interface UUID                     : 0000##00-000-0000-2000-000#00000000
Policy UUID                        : 0000##00-2000-0000-2000-000#00000000

Policy Rule Information
    Local Subnet                                : 172.16.10.0/24 Peer Subnet                        : 172.16.20.0/24
    Outbound Rule ID                            : 5######13 Inbound Rule ID                    : 26######61
    Action                                      : RA_ENCRYPT

Stats
    Rx Pkts                            : 683537        Tx Pkts                            : 6562475
    Rx Bytes                           : 45255169      Tx Bytes                           : 9818114408
    Rx MSS Adjusted                    : 0             Tx MSS Adjusted                    : 0
    Rx MSS Ignored                     : 0             Tx MSS Ignored                     : 0
    Rx Drops                           : 0             Tx Drops                           : 14
    Rx Drop Crypto Failure             : 0             Tx Drop Crypto Failure             : 0
    Rx Drop Enqueue Failure            : 0             Tx Drop Enqueue Failure            : 0
    Rx Drop State Mismatch             : 0             Tx Drop State Mismatch             : 0
    Rx Drop Malformed                  : 0             Tx Drop Malformed                  : 0
    Rx Drop Proto Not Supported        : 0             Tx Drop Proto Not Supported        : 0
    Rx Drop Replay                     : 0             Tx Drop Seq Rollover               : 0
    Rx Drop Inner Malformed            : 0             Tx Drop Fragmentation Needed       : 14
    Rx Drop Policy Nomatch             : 0             Rekey Request Failure              : 0
    Rx Drop Auth Failure               : 0
    Rx Drop Zero Sequence Number       : 0
----------------------------------------------------------------------------------------------------


edge01> get ipsecvpn policy summary
Thu Dec 11 2025 UTC 14:29:14.283
IPSec Security Policy count: 2

RuleId       Dir   Local Subnet              Peer Subnet               Action     UUID
----------------------------------------------------------------------------------------------------------------------------------
5######13    Out   172.16.10.0/24            172.16.20.0/24            Encrypt    0000##00-2000-0000-2000-000#00000000 
26######61   In    172.16.20.0/24            172.16.10.0/24            Encrypt    0000##00-2000-0000-a000-000#00000000

VMware NSX

VMware NSX-T Data Center

This drop indicates higher packet length and need fragmentation.  

Place a packet capture  on the  OUT interface UUID from output "get ipsecvpn policy summary" on the associated NSX edge.

Filter for higher packet length to identify the source and destination.

sample: start capture interface 0000##00-2000-0000-2000-000#00000000 direction dual file test.pcap

edge01> get ipsecvpn policy summary
Thu Dec 11 2025 UTC 14:29:14.283
IPSec Security Policy count: 2

RuleId       Dir   Local Subnet              Peer Subnet               Action     UUID
----------------------------------------------------------------------------------------------------------------------------------
5######13    Out   172.16.10.0/24            172.16.20.0/24            Encrypt    0000##00-2000-0000-2000-000#00000000 <<<<
26######61   In    172.16.20.0/24            172.16.10.0/24            Encrypt    0000##00-2000-0000-a000-000#00000000