Есть 2 DFL-260E.
Сеть А - 192.168.133.0/24
Сеть Б - 192.168.137.0/24

было издревле настроен между ними Ipsec.
на обоих была прошивка 2.27
после обновления на 11.10, туннель автоматом поднялся.
но через некоторое время было замечено, что из сети А в сеть Б пакеты идут через NAT.
т.е. сервер в сети Б видит все пакеты из сети А, как от 192.168.133.1
а пакеты из сети Б в сеть А идут через роутинг.
т.е. сервер в сети А видит все пакеты из сети Б, как от исходного адресата, например 192.168.137.8

настройки туннеля были проверены несколько раз.
они с обоих сторон абсолютно зеркальные.
правила тоже зеркальные. Allow всего трафика туда и обратно.
таблицы маршрутизации проверялись. все симметрично.

единственно, что приходит в голову, что DFL в сети Б, перед настройкой и обновлением, был сброшен в фабричные настройки.

подскажите, что еще можно по проверять?

еще раз правила,. кроме них , ни кто такое не сможет сделать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да. Спасибо. Порядок правил сыграл злую шутку...