В продолжение темы о доступности ресурсов при использовании WAN load balancing


#1

В продолжение темы Source nat exclude при включенной балансировке wan
Так получилось, что у меня сменились имена интерфейсов. LAN, как и прежде, остался eth1, а первый и второй WAN поменялись местами (eth0 и eth2).
Конфигурация идентичная предыдущей (в этот раз выложу ее). И в это раз снова что-то очень странное происходит, если попытаться открыть внутренний ресурс через WAN, висящий на eth0. А именно либо загрузка идет оооочень медленно, либо соединение сбрасывается, как будто трафик где-то зацикливается.
Не может ли это быть багом?

 firewall {
     all-ping enable
     broadcast-ping disable
     config-trap disable
     ipv6-name OUTSIDE-IN-IPV6 {
         default-action drop
         rule 5 {
             action accept
             source {
                 address 2001:db8:dead:beef::/60
             }
         }
         rule 10 {
             action accept
             state {
                 established enable
                 related enable
             }
         }
         rule 20 {
             action accept
             protocol icmpv6
             state {
                 new enable
             }
         }
         rule 30 {
             action accept
             destination {
                 address 2001:db8:bad:dad8::ac10:12
                 port 80,443
             }
             protocol tcp
         }
     }
     ipv6-name OUTSIDE-LOCAL-IPV6 {
         default-action accept
         rule 10 {
             action drop
             destination {
                 port 22
             }
             protocol tcp
             source {
                 address !2001:db8:dead:beef::/60
             }
         }
         rule 20 {
             action drop
             destination {
                 port 22
             }
             protocol tcp
             recent {
                 count 4
                 time 60
             }
             state {
                 new enable
             }
         }
     }
     ipv6-receive-redirects disable
     ipv6-src-route disable
     ip-src-route disable
     log-martians enable
     receive-redirects disable
     send-redirects enable
     source-validation disable
     syn-cookies enable
     twa-hazards-protection disable
 }
 interfaces {
     ethernet eth0 {
         address 1.1.1.100/24
         address 2001:db8:bad:dad0::2/61
         description PROV1
         duplex auto
         firewall {
             in {
                 ipv6-name OUTSIDE-IN-IPV6
             }
             local {
                 ipv6-name OUTSIDE-LOCAL-IPV6
             }
         }
         hw-id 00:14:d1:10:f7:d6
         smp_affinity auto
         speed auto
     }
     ethernet eth1 {
         address 10.10.10.10/30
         address 2001:db8:bad:dad8::1/61
         description LAN
         duplex auto
         hw-id bc:ae:c5:a6:70:6b
         ipv6 {
             dup-addr-detect-transmits 1
             router-advert {
                 cur-hop-limit 64
                 default-preference high
                 link-mtu 0
                 managed-flag true
                 max-interval 60
                 min-interval 5
                 other-config-flag true
                 prefix 2001:db8:bad:dad8::/61 {
                     autonomous-flag true
                     on-link-flag true
                     valid-lifetime 2592000
                 }
                 reachable-time 0
                 retrans-timer 0
                 send-advert true
             }
         }
         smp_affinity auto
         speed auto
     }
     ethernet eth2 {
         address 2.2.2.200/24
         description PROV2
         duplex auto
         firewall {
             in {
                 ipv6-name OUTSIDE-IN-IPV6
             }
             local {
                 ipv6-name OUTSIDE-LOCAL-IPV6
             }
         }
         hw-id 6c:f0:49:58:62:fe
         smp_affinity auto
         speed auto
     }
     loopback lo {
     }
 }
 load-balancing {
     wan {
         interface-health eth0 {
             failure-count 3
             nexthop 1.1.1.1
             success-count 1
             test 10 {
                 resp-time 5
                 target 1.1.1.10
                 ttl-limit 1
                 type ping
             }
             test 20 {
                 resp-time 5
                 target 1.1.1.3
                 ttl-limit 1
                 type ping
             }
         }
         interface-health eth2 {
             failure-count 4
             nexthop 2.2.2.2
             success-count 1
             test 10 {
                 resp-time 5
                 target 2.2.2.10
                 ttl-limit 1
                 type ping
             }
         }
         rule 10 {
             failover
             inbound-interface eth1
             interface eth0 {
                 weight 10
             }
             interface eth2 {
                 weight 1
             }
             protocol all
         }
     }
 }
 nat {
     destination {
         rule 10 {
             destination {
                 port 22
             }
             exclude
             inbound-interface eth+
             protocol tcp
         }
         rule 998 {
             destination {
                 address 2.2.2.200
             }
             inbound-interface eth2
             translation {
                 address 10.10.10.9
             }
         }
         rule 999 {
             destination {
                 address 1.1.1.100
             }
             inbound-interface eth0
             translation {
                 address 10.10.10.9
             }
         }
     }
 }
 protocols {
     static {
         route 0.0.0.0/0 {
             next-hop 2.2.2.2 {
             }
             next-hop 1.1.1.1 {
             }
         }
         route 2.2.2.10/32 {
             next-hop 2.2.2.2 {
             }
         }
         route 1.1.1.10/32 {
             next-hop 1.1.1.1 {
             }
         }
         route 1.1.1.3/32 {
             next-hop 1.1.1.1 {
             }
         }
         route6 ::/0 {
             next-hop 2001:db8:bad:dad0::1 {
                 interface eth0
             }
         }
     }
 }
 service {
     ssh {
         port 22
     }
 }