Web proxy filter в TMG2010.SP1
 

Народ, подскажите кто - что может.

Система: TMG2010 SP1 std (+ заплатки) установлен в виртуальной машине Hyper-V R2 в составе кластера, который крутится на Blade-серверах HP.

При использовании для пользователей правила доступа с протоколом HTTP некоторые сайты не открываются, например,
ca.deltapay.ru, при этом многие другие открываются, например, ya.ru. При доступе на проблемные сайты TMG выдет ошибку 64.
Смотрел логи TMG - по какой-то причине от вдруг решает закрыть соединение... :(

Долго ковырял что может быть... отключал NIS, Malware, flood mitigation и т.п. отключал все web фильтры... никак.

Глюк исчезает, если доступ пользователю открывать не через стандартный протокол HTTP, а через переопределенный, в котором отключен web proxy filter (+ ниже стоит дополнительное правило запрета с теми же параметрами). Однако при этом перестает работать доступ через proxy, и возможна работа только SecureNET (что не вполне приемлемо).

Долго пытался понять в чем дело... поставил NM 3.4 - обнаружил, что часть пакетов на удаленный сайт просто не доходит (в логах идет retransmit)... более того появляются двойные (идентичные) ASK пакеты с интервалом в 0,1 - 0,2 мс! Как ни странно пакеты с флагами Fin проходят - поэтому TMG считает, что соединение было закрыто чисто. Часто проскакивают входящие дубли ACK-SYN (с тем же нереальным интервалом, хотя RTT до ya.ru - около 40 мс).

Но такие дубли и потери происходят только в случае web proxy filter, если его отключить, то картина кардинально меняется и все летает.

ping ya.ru -l 1500 -успешно, хотя есть и потери (смотрел NM - видно что в проблемных ping-ах из 3х пакетов ответа приходят только 2).
ping google.ru -l 1500 -n 100 - успешно без потерь.
Идентичная картина наблюдается, если размер ping увеличить до 15000 - google - без потерь, ya.ru - с потерями до 30%.

pingpath ya.ru - показывает что ни одного пакета не потеряно ни на одном из шлюзов.

TMG подключен к cisco, между ними MTU=1500, MTU провайдера = 1492 (отсюда 3 обратных пакета на один ping -l 1500).
Но не похоже, чтобы проблема была в MTU, т.к. пакеты, по которым шлюз выполняет retransmit не превышают 600-700 байт.
Cisco настроен маршрутизатором (внутренняя подсеть на 8 публичных адресов).
Входящий фильтр на внешнем интерфейсе cisco разрешает все пакеты в маршрутизируемую подсеть.
Что посоветуете? Как победить web proxy filter?...

Пока нет советов, буду копать в сторону L2 (т.е. постараюсь убедиться, что на уровне frame сеть работает четко).