Я вижу то же самое на версии 8.4.5 и, к сожалению, не могу предложить никаких ответов. Я несколько раз пробовал SDN, но в итоге только ломал себе голову и переключался на что-то другое. Внутрикластерная маршрутизация работает отлично, но внешняя маршрутизация ни разу не заработала с тех пор, как я начал разбираться с SDN несколько релизов назад. В моём случае (и, скорее всего, в вашем тоже) всё работает правильно: маршрутизатор отправляет пакеты на другой узел (из-за ECMP), но они корректно направляются к нужному узлу по VXLAN-сети. Печально то, что всё «зависает» прямо перед финишем — точнее, при передаче от Zone bridge к VNet bridge. Мои тесты показали, что пакеты доходят до интерфейса vrfbr_* (Zone bridge) на целевом узле, но почему-то не попадают на конкретный VNet bridge. Мост vrfbr_* включён в зону VRF, и в ходе тестов я подтвердил, что в таблице маршрутизации есть маршрут до подсети VNet с параметрами YOUR_VNET_SUBNET dev YOUR_VNET proto kernel scope link src YOUR_VNET_GATEWAY. Но, увы, ARP-запросов не поступает, если смотреть с гостевой VM/CT, и, предполагаю, именно поэтому пакеты не доходят до гостя.

Не я автор темы, но заметил, что в моём случае удаление записи соседа командой ip neigh del VM_IP dev VNET_IF временно даёт пройти ответу (для ICMP я получаю ровно один ответ), а потом всё снова прекращается. Хотя точно не понимаю, что это означает, ведь возвращающаяся запись соседа полностью совпадает с той, что была до этого.

Мне удалось разобраться с проблемой у себя, не уверен, что это то же самое, с чем столкнулся автор темы. Но в моём случае дело было в обратной фильтрации маршрута. Забавно, что после решения и понимания, какие ключевые слова искать, я попытался проверить, кто ещё сталкивался с этим, и вот, пожалуйста: https://forum.proxmox.com/threads/e...ll-drop-packet-with-asymetric-routing.158225/. У меня даже была точная директива для установки sysctl в 0 в кастомном конфиге в /etc/sysctl.d, но незаметно для меня её переопределял файл /usr/lib/sysctl.d/pve-firewall.conf.