anton0211, пока я пытался найти способ оценить фрагментацию из-за MTU, наткнулся на комментарий про fasttrack, отключил, всё заработало на ура. Потом сделал два правила fasttrack вместо одного старого - для пакетов из интерфейса интернета в мост и обратно. И волки сыты и CPU целы.
Для анализа MTU ничего не нашел :(
Правило находится в цепочке forward с действием, которое называется fasttrack.
Его можно отключить, всё VPN-ное ускорится, но нагрузится CPU. А как это решить - пока не понял.
ValdikSS, ну как же? Автор же пишет - маршрут должен выбираться исходя из адреса _источника_. В простом рутинге нет условия, которое указывает на источник.
Придется пометить пакеты от одной сети и сделать правило, чтобы маршрут для этой сети рутер смотрел в отдельной таблице. vrf - перебор, но можно решить и им.
Или я тоже слишком резко остыл с наступлением сентября?
Для анализа MTU ничего не нашел :(