Protože následek provedeného NATu po pádu VPNka, connection tracking a nevhodně nastavené routy?
Pokud používám v mé vnitřní síti a v těch VPNkách bloky z 192.168...., tak bych na každém routeru očekával i toto:
/ip route add distance=250 dst-address=192.168.0.0/16 type=unreachable
Třeba to pak tuto podivnost přestane dělat. :-) A podobně znějicích rout na slušně nastaveném routeru by mělo být mnohem víc (pro inspiraci viz RFC6890). :-(
EDIT: Takže to vypadá, že i ten Fortigate má stejný problém, kdy po pádu tunelu začne původně tunelovaná spojení posílat přes WAN ven a zprzní je NAT, protože s ena ně uplantí defualt routa. Takže po obnově tunelu už neprojdou... Opět řeší blokační routa, co nedovolí útěk přes WAN při nejedoucím tunelu. Takže v nářečí Fortigate:
config router static
edit 123
set blackhole enable
set dst 192.168.0.0/16
set priority 250
next
end