CARP vIP Paketverlust

[wk]

Moin,

ich habe Probleme meine Firewall hochverfügbar zu bekommen.

Netzaufbau:
Ich habe eine Skizze angehängt: Mein ISP (Telekom) stellt mir einen IP-Block zur Verfügung (W.W.100.0/29), der in einem Router von denen ankommt (Adtran NetVanta 4660). Da der Router nur einen aktiven Port hat, geht dieser in einen Unmanaged TP-LINK Switch, an den die beiden Firewalls angeschlossen sind.

Den IP-Block habe ich wiefolgt verteilt:
- W.W.100.2: CARP virtual IP
- W.W.100.3: Firewall 1
- W.W.100.4: Firewall 2
- W.W.100.5: virtual IP mit gleicher VHID wie .2
- W.W.100.6: virtual IP mit gleicher VHID wie .2

Ich bin den Anleitungen von Thomas Krenn und der Opnsense Doku gefolgt um die zweite Firewall einzurichten.

Problem:
Sobald ich die zweite Firewall hochfahre habe ich einen Paketverlust von 10-50%, sobald ich im WAN-Netz die virtuellen IPs ansprechen (CARP + vIPs). FW1+2 direkt lassen sich ohne Paketverlust anpingen. Von der LAN-Seite gibt sind die CARP-IPs uneingeschränkt erreichbar.

- Die Kabel habe ich alle gewechselt
- Die Ports habe ich gewechselt
- Das Problem betrifft nur WAN, nicht LAN
- Den Switch habe ich auch im LAN problemlos einsetzen können
- Die CARP-IPs werden korrekt verhandelt, es gibt keine Probleme mit Master/Slave Zuweisungen laut Statusseiten, Hin-und Herspringen des Master habe ich auch in den Logs nicht finden können.
- Ich habe mehrere vhids ausprobiert, da laut Dokumentation der Telekom bspw. die 44 und 66 belegt werden können, ohne Erfolg.

Hat jemand eine Idee, woran das liegen kann oder sogar noch besser, wie ich das Problem beheben kann?