Коллеги, добрый день, нужен совет в какую сторону копать, есть шлюз (Centos7 3.10.0-514.6.1)
При выполнении ping на определенный адрес, который доступен через vpn (строится с помощью libreswan), получаю данные сообщения, при чем периодически адреса меняются и относятся к разным тоннелям.
В iptables заведомо все верно, не меняя правил, выполняем команду conntrack -F и адрес который был недоступен, чудесным образом начинает работать, а какой нибудь другой валится в эту ошибку.
При этом в dmesg тишина, ошибок нет, за исключением мелочей. В iptables около 300 правил Соединений тоже не так много: net.netfilter.nf_conntrack_count = 23427
net.ipv4.ip_forward = 1
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.netfilter.nf_conntrack_max=524288
net.core.netdev_max_backlog=5000
net.ipv4.tcp_fack = 0
net.ipv4.tcp_sack = 0
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.core.rmem_default = 8388608
net.core.wmem_default = 4194394
net.ipv4.tcp_mem=98304 131072 196608
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_keepalive_time = 60
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_fin_timeout=15
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_max_syn_backlog=2048
net.netfilter.nf_conntrack_generic_timeout = 180
net.netfilter.nf_conntrack_icmp_timeout = 10
net.netfilter.nf_conntrack_tcp_be_liberal = 1
net.netfilter.nf_conntrack_tcp_timeout_established = 1200
net.netfilter.nf_conntrack_udp_timeout = 10
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.ipv4.tcp_timestamps = 0
