Dmitriy

UPD: Проблема решена. На роутре-шлюзе были разрешены только соединения со статусом RELATED и ESTABLISHED для хостов внутри сети. Это правило пропускало весь трафик до сервера, но только некоторую часть трафика до клиента. Удалось выявить с помощью torch и wireshark

Нашёл проблему.
Firewall криво фильтровал пакеты ICMP из-за чего не работал механизм Path MTU Discovery, отвечающий за корректировку MTU со стороны хостов. Спасибо за помощь!

UPD: выявил настоящую проблему. Суть проблемы заключалась в том, что на роутере-шлюзе был разрешён трафик только с флагами related и established. После добавления разрешающего правила для внутренних адресов проблема была решена.