MTU 2000 не помогло.
При выключенном 2м туннеле и маршруте на него все нормально. При выключенном 1м туннеле и маршруте на него тоже все нормально.
Пример 1 (часть DFL ведут себя так):
- создано 2 туннеля и 2 маршрута. Связь через 1й туннель. Потерь нет.
- выключаю 1й туннель и маршрут. Связь через 2й туннель. Потерь нет.
- включаю 1й туннель, без включения маршрута на него. Активирую. Каждый 6й пакет теряется.
- включаю маршрут для 1го туннеля. Активирую. Связь поднимается через 1й туннель. Потерь снова нет.
Т.е. потери только через 2й туннель при существующем первом.
Пример 2 (другая часть DFL ведут себя так):
- добавляю 2й туннель, опять же без маршрута. Активирую. Начинаются потери на активном 1м туннеле.
- добавляю маршрут для 2го туннеля. Выключаю маршрут для 1го туннеля. Связь через 2й. Каждый 6й пакет теряется, либо отваливается на пару минут.
- выключаю 1й туннель. Потерь нет.

А как выглядит в моменты перед отваливанием лог?

а схему с одним туннелем и группой IP в уд. точке в туннеле, пробовали

Да. Работает, но не на всех DFL.

Логи посмотрю, позже выложу.

На этом DFL потери сразу после добавления второго туннеля, каждый 6й пакет.
На другом теряется половина пакетов после переключения на второй туннель.

DFL они все одинаковые, вроде бы, должно работать на всех
потери пакетов могут быть связаны с переключением на другой канал, типа - на дфл идут запросы к нат цепочкам привязанным к другому каналу

настройте сислог (например для отбора дропов надо добавить Message Exceptions, Log ID:60 (RULE), ID 51), а то тяжело читаемый листинг
и все забито ipsec_sa_failed, ike_quickmode_failed (reason="No proposal chosen")
настройки IPSec (параметры фаз) одинаковые?

Потери начинаются сразу после добавления нового туннеля. Еще до переключения. Да еще и без маршрута на новый туннель.

IKE везде Main. Сислог попробую сделать как сказали.

балансировка не включена?
надо подробно смотреть-вникать в схему
все-таки я бы порекомендовал схему с одним туннелем и группой в рем. енд-поинт, туннель там один и все проще в плане маршрутизации

Балансировки нет.
Вариант отличный, не спорю. Так уже несколько вполне успешно работают, Но не все.. После добавления второго эндпойнт просто отваливается туннель. Почему - не знаю. Конфигурация у всех однотипная.

дропы говорят что система не может найти маршрут в таблице для сети назначения, если до добавления маршрута все отрабатывало, то значит в маршрутах что-то все-таки меняется
зайдите до добавления маршрута (т.е. когда все работает) в status/connections, отфилтруйте-найдите нужное соединение, отскриншотьте status/routes
тоже самое при добавленном маршруте

интересно, а что в логах?