А что Вас заставляет ловить этот глюк?

погаси туннель с обоих сторон

2 вана и резервирование туннелей

Настройте правильно маршрутизацию, чтобы туннель не лез со своим соурсом в чужой канал.

А есть пример?

посмотрите в сторону ip route rules lookup-only-in-table

Ок, спасибо, посмотрю. Всё работает в общем стабильно на нынешнем конфиге, но раз в неделю-две вылезает этот глюк.

И непонятно почему даже при откл туннелях это кривой конекшен подымается сам

После удаления

На той стороне только 1 ван. Оба туннеля идут на 1 ип

Я думаю, что виноват залипшая сессия НАТа, которая не откатывается после обратного переключения канала.

Это не зависит от переключения канала

Вот роуты

О, опять

Я бы убрал гре вообще из коннекшен трекинга.

А на первом ок. Но поскольку залип второй, то и этот не альо

/ip firewall mangle
add action=mark-connection chain=prerouting comment=\
   "Mark connection so packets from wan2_UACity get returned to wan2_UACity properly" in-interface=wan2_UACity \
   new-connection-mark=wan2_UACity-packets passthrough=no
add action=mark-routing chain=prerouting connection-mark=wan2_UACity-packets new-routing-mark=wan2_UACity-packets \
   passthrough=no
add action=mark-routing chain=output connection-mark=wan2_UACity-packets new-routing-mark=wan2_UACity-packets \
   passthrough=no
add action=mark-connection chain=prerouting comment=\
   "Mark connection so packets from wan1_DataGroup get returned to wan1_DataGroup  properly" in-interface=\
   wan1_DataGroup new-connection-mark=wan1_DataGroup-packets passthrough=no
add action=mark-routing chain=prerouting connection-mark=wan1_DataGroup-packets new-routing-mark=\
   wan1_DataGroup-packets passthrough=no
add action=mark-routing chain=output connection-mark=wan1_DataGroup-packets new-routing-mark=wan1_DataGroup-packets \
   passthrough=no

Похоже я прав. Где обработка исходящего локального трафика? Например того, который инициирует гре туннель по каналу резервного провайдера?

Такое чтото? Или как оно должно выглядеть?