Проброс портов между роутерами Keenetic подключенных через IKEV2/IPSEC

[TPAKTOPuCT]

Ситуация следующая:

Имеется два одинаковых роутера Viva (KN-1912) EAEU. Роутер1 имеет белый ip адрес к нему подключается Роутер2 через IKEV2/IPSEC. Роутеру2 выдается всегда один статический адрес Роутером1 172.20.8.10. На Роутер1 настроены пробросы портов на Роутер 2 (RDP, Web, еще несколько служебных портов). Устройства сидящие за Роутер2 пользуются интернетом Роутер1. У Роутер2 есть резервный канал - модем. Настройки приоритетов подключения Роутер2: 1. VPN 2. Модем 3. Провайдер. Настройки пробросов прикрепил.

Проблема обнаружилась 19 ноября, когда не смогли удаленно подключиться по белому IP к серверу, находящемуся за Роутер2 по RDP. Правила такие: Роутер1 принимает соединение по белому IP на порт 3599, пробрасывает на порт 3599 Роутер2. Роутер2 принимает подключение на порту 3599 и пробрасывает его на порт 3389 (стандартный порт RDP). Соединение не проходит.

При том через подключение по резервному каналу напрямую к Роутер2 проходит.

Соответственно престали работать все пробросы портов между Роутер1 и Роутер2. При том порт web интерфейса Роутер2 - 81 проброшен через Роутер1 (подключаясь по белому ip на порт 81 попадаю в web интерфейс Роутер2). Если я подключаюсь по белому IP на Роутер1 по порту 81, то попадаю на Роутер2. Т.е. проброс порта web управления работает.

Экспериментируя, поменял порт управления Роутер2 на 777 - при подключении через белый IP попал на порт управления Роутер2, как и ожидалось. Насквозь пробросил этот порт серверу за Роутер2 (Роутер 1 пробрасывает 777-777, Роутер2 777-3598) - не работает.

Повторюсь - проблема пявилась только 19 ноября, до этого все пробросы работали корректно. Знаю, что плюс/минус в это время все роутеры keenetic обновлялись принудительно. Не могут ли эти события быть связаны?

Прошу помощи.

[TPAKTOPuCT]

Если кому интересно, то победил проблему подняв VPN на L2TP. Пробросы заработали