Очень высокая скорость ретрансляции TCP в Интернет на устройствах внутри LAN

Я много работаю с системами Linux как разработчик и обладаю средними знаниями в области сетевых технологий, но следующая ситуация является настоящей загадкой:

Я запускаю pfSense 2.4.3 (текущий) на виртуальной машине kvm на хосте Linux. Я собираюсь использовать его для маршрутизации в Интернете, NAT и межсетевого экрана. У виртуальной машины есть интерфейс на основе macvtap, который дает ей прямой доступ к моему кабельному модему через физический интерфейс на хосте, к которому подключен Ethernet модема. У него есть еще один виртуальный интерфейс, который является членом сетевого моста на хосте Linux, чтобы обеспечить LAN-сторону подключения к Интернету на самом хосте Linux и другим устройствам в LAN. Сеть LAN - 192.168.123.0/24; Адрес локальной сети pfSense статически назначен 192.168.123.2.

Эта установка, казалось, работала нормально в течение первых четырех или пяти дней, но затем я заметил, что машины в локальной сети имеют очень низкую пропускную способность, как при загрузке, так и при загрузке, для TCP-трафика, предназначенного для Интернета: около 1 Мбит / с. При захвате пакетов скорость повторной передачи TCP составляет около 16%.

Я заметил следующие дополнительные вещи:

• Все машины в локальной сети могут без проблем обмениваться данными друг с другом. В частности, если я передаю файл, размещенный на экземпляре pfSense, на машину в локальной сети, передача выполняется быстро (200+ Мбит / с), и при захвате пакета было показано 1 повторная передача из 77 тыс. Пакетов.
• Пропускная способность TCP в Интернет при запуске, например. curl или wget прямо на экземпляре pfSense работает с номинальной скоростью моего интернет-соединения, около 60 Мбит / с. Я воспроизводил это несколько раз.
• Низкая производительность одинакова при использовании IPv4 с NAT или IPv6.
• Мой коммутатор сообщает о частоте ошибок приема около 1,2 процента на порту, к которому подключен мост Linux host / pfSense. Я не вижу статистику большого количества пропущенных или ошибочных кадров Ethernet ни на одном из хостов.
• Захваты пакетов, сделанные как pfSense, так и машинами в локальной сети, показывают, что при повторной передаче пакетов был получен более ранний пакет с тем же порядковым номером, и в нескольких случаях, которые я различал, содержал идентичные полезные данные сегмента TCP, что, по-видимому, предполагает, что повторная передача была не обязательно?

Затем я также заметил, что хост Linux для pfSense вообще потерял способность открывать исходящие TCP-соединения, но:

• он все еще может нормально пинговать вещи в Интернете.
• журналы брандмауэра pfSense показывают, что мои попытки исходящего соединения не блокируются каким-то ошибочным правилом.
• Очевидно, безупречное подключение к локальной сети включает между хостом Linux для виртуальной машины pfSense и виртуальной машиной pfSense - Linux может открывать сеансы TCP на свой шлюз по умолчанию 192.168.123.2 и быстро передавать данные на него и обратно.
• Захват пакета, сделанный pfSense на его WAN-интерфейсе, показывает TCP SYN-пакеты, идущие на интерфейс macvtap, когда хост Linux пытается установить исходящие соединения, как и ожидалось. Их никогда не признают.

Подсказки? Что я могу попробовать? Все догадки?