Не в качестве ответа, а просто рассуждения...

1. Это наверное надо просто принять. Видимо, программисты так решили - для одного правила маскарада один раз вычисляется адрес исходящего интерфейса и применяется вплоть до падения интерфейса, после чего вычисляется заново. Триггер для перевычисления адреса - падение интерфейса, а не появление пакета от нового соединения.
Программисты могли принять и Вашу логику, но она сложнее для реализации.

По 2 и 3 мне сказать нечего 😕
Но я бы всеми силами старался бы упростить исходную ситуацию, чтоб не приходилось ругаться натом на исходящий айписек 🙂

Какое условие определяет выходную  врф?

Routing mark или её отсутствие

Какое условие определяет выходную  врф?

не понял

вариант, обозначенный в тексте - по out-interface=loopback0

вариант, обозначенный в тексте - по out-interface=loopback0

«все, для чего не нашлось специфика в main, отправляем в единственный front door vrf»

Всем привет. Помогите с проблемой:
RB4011iGs+ настроено три IPSec туннеля. Работали 3 месяца без сучка без задоринки. Но тут провайдер сбойнул на 3 часа, и с тех пор каждые 8 часов один туннель постоянно начинает троиться и вешает остальные. Помогает только Kill Connections в IPSec - Active Peers. Настройки не менял, поэтому немного не понимаю, куда копать на что смотреть.

Лонг-терн стоят прошивки? Фрейваре обновлён? На всех трёх устройствах

микрот только один, остальные tp-linkи. Прошивку не трогал из коробки