>> Вот в такой конфигурации (схематично, подробности при необходимости) c 2.2.2.111:
>> 1) SSH на хост А в мир, на А наблюдаю коннект с
>> R1, HTTP не работает пакетики вроде бегают но ... (бегло tcpdump,
>> вроде ретрансмиты). Трасса с 2.2.2.111 2, 3 хоп - 1.1.1.252 1.1.1.251.Воткнул кхост с которого тестирую в 1.1.1.0/24 На R2 для него PBR с next-hop на (новый R3). На R3 для 1.1.1.111 NAT.
если в качестве default route HSRP virtual IP 1.1.1.254 (HSRP R1-R2), ping c 1.1.1.111 (тестовый хост) в мир чать успешные (3-4 пакета), т.е. ушли куда следует, а часть уходят на R1 (на нем специально для 1.1.1.111 не настроил нат) и в ответ ICMP unreachable - admin prohibited filter.
если в качестве default route IP R2 (1.1.1.252), то все отлично улетает на R3, там натится, вобщем пингается, и качается.
Вопрос почему вылазит при default выставленном на HSRP адрес часть пакетов уходит на HSRP active а часть на HSRP passive