1) есть несколько роутеров 2901
2) поднят Dynamic Multipoint VPN

3) тушу тунель на споках руками (командой shutdown в интерфейсе туннеля) - в бранч офисе доступ к остальным сегментам корпоративной сети пропадает, но интернет работает

4) на хабе меняю настройки туннеля (тип шифрования к примеру) - бранчи отваливаются и в нескольких ещё и внешний интерфейс блокируется (нет пингов, нет трафика, дальше роутера ничего не идёт). Ребут не помогает. Восстанавливаю хаб - всё начинает работать норм

5) дефолтная маршрутизация для не локального трафика настроена на провайдера, а не в туннель. Дополнительно проверял трассировкой.

6) конфиги - кругом одинаковые (кроме IP интерфейсов)

7) подскажите куда копать, какие дебаги смотреть. пока криминала сам не нашёл. 

😎 необходимую для диагностики инфу могу предоставить.
9) бранчи расположены от меня нереально далеко. сильно экспериментировать не смогу