SD-WAN vs IPsec - scarsa performance

Ciao a tutti,
Uno dei miei clienti ha la seguente configurazione:
site A ← IPsec → site B ← IPsec → fornitore X

Recentemente abbiamo implementato SD-WAN con site B come hub e diversi altri spoke. Funziona tutto bene per tutti.
Tuttavia, dopo aver migrato site A in SD-WAN, eliminando così l’IPsec statico, gli utenti lamentano che un’app web sul lato fornitore è super lenta e non reattiva.
Tutte le policy coinvolte non hanno profili di sicurezza né ispezioni.
SD-WAN utilizza BGP sul loopback con 3 tunnel. Gli SLA sono perfetti su ogni tunnel.
MTU per l’interfaccia WAN è stato impostato a 1492, quindi ho provato a ripristinarlo al valore predefinito (ma i VPN non sono scesi durante il cambiamento, cosa strana).
Oggi ho disabilitato SD-WAN e riattivato l’IPsec e da allora funziona tutto bene.
È piuttosto strano poiché tutto ciò che è cambiato è che l’IPsec non è più unico e il routing è dinamico invece che statico.
Qualcuno ha vissuto qualcosa di simile? Come avete risolto? Potrebbe veramente essere qualcosa legato all’MTU?

L’unica cosa che cambia con lo sdwan è la decisione di routing, da policy statica a dinamica.
Come potrebbe essere legato all’MTU?
Se le policy sono le stesse, tranne che la zona sdwan è referenziata invece dell’interfaccia tunnel, non può essere neanche policy-related.

Se lo stesso tunnel viene scelto dalle tue regole/strategia sdwan e tutti gli SLA pertinenti sono a posto, non riesco a vederlo correlato.
Prova una regola manuale senza SLA e con il tunnel principale.

Qual è la differenza di configurazione tra il vecchio tunnel IPsec e quello nuovo su site A?

Può essere molte cose dipendentemente dalla configurazione / condizioni reali.

Ma le sessioni ausiliarie mi sono venute in mente leggendo il tuo problema.

Le hai abilitate? https://community.fortinet.com/t5/FortiGate/Technical-Tip-SD-WAN-Auxiliary-Sessions/ta-p/229467