Доброе время суток всем!

Есть у нас шлюз на FreeBSD 11.1-RELEASE-p15, за которым прячется сетка. В связи с карантинными событиями было дано высочайшее "добро" на работу сотрудникам удалённо, кто может. Для бухгалтерии сделали такой проброс:
1C="192.168.0.164"
rdr on $ext_if inet proto tcp from <rdp_1C> to $ext_IP port = 64128 -> $1C port 3389
pass in on $ext_if inet proto tcp from <rdp_1C> to $ext_IP port = 64128 keep state
pass in on $ext_if inet proto tcp from <rdp_1C> to $1C port = 3389 keep state

Всё вполне нормально работало. Под этот шумок, решили мы немного оптимизировать конфигурацию сети, согласно давно намеченного плана: добавили алиас на сервере 1С и поменяли в pf.conf одну строчку:
1С="192.168.10.164"
Заглянули "снаружи" - залогинились на сервер, повозили мышкой, поклацали на кнопочки - вроде, работает нормально. А утром народ начал жаловаться: пользователь логинится, несколько секунд (от 2 до 5) всё работает нормально, после чего всё замирает, какое-то время циферки на экране ещё меняются, но на мышку/кнопки реакция пропадает и, наконец, появляется сообщение: "Соединение восстанавливается". Да, оно почти тут же восстанавливается, но выпадающие менюшки в формах 1С возвращаются в первоначальное положение, что очень огорчает работающих со справочниками номенклатуры, т.к. через 2-5 секунд это всё опять повторяется.

tcpdump показывает следующее:
[вначале трафик адекватен движениям мышки/нажатию клавиш...]
20:30:43.769503 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 98514
:99974, ack 66821, win 63232, length 1460
20:30:43.769592 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 9997
4:100255, ack 66821, win 63232, length 281
20:30:43.779127 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 10025
5, win 65535, length 0
20:30:43.814635 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6682
1:66922, ack 100255, win 65535, length 101
20:30:43.863212 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1002
55:100852, ack 66922, win 63131, length 597
20:30:43.916366 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6692
2:67015, ack 100852, win 64938, length 93
20:30:43.956927 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1008
52:101017, ack 67015, win 63038, length 165
20:30:44.028054 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6701
5:67116, ack 101017, win 64773, length 101
20:30:44.142358 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6711
6:67161, ack 101017, win 64773, length 45
20:30:44.144013 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1010
17:101070, ack 67015, win 63038, length 53
20:30:44.244216 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6716
1:67254, ack 101070, win 64720, length 93
20:30:44.267978 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 1008
52:101070, ack 67015, win 63038, length 218

[А вот с этого момента начинается "затык"]
20:30:44.276902 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 10107
0, win 64720, length 0
20:30:44.357360 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6725
4:67355, ack 101070, win 64720, length 101
20:30:44.469446 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6735
5:67456, ack 101070, win 64720, length 101
20:30:44.521517 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6701
5:67456, ack 101070, win 64720, length 441
20:30:44.581601 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6745
6:67557, ack 101070, win 64720, length 101
20:30:44.682457 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6755
7:67650, ack 101070, win 64720, length 93
20:30:44.812509 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6765
0:67735, ack 101070, win 64720, length 85
20:30:44.833082 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 10107
0:102530, ack 67015, win 63038, length 1460
20:30:44.925610 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6773
5:67836, ack 102530, win 65535, length 101
20:30:45.025510 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6783
6:67929, ack 102530, win 65535, length 93
20:30:45.138049 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6792
9:68030, ack 102530, win 65535, length 101
20:30:45.250429 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6803
0:68131, ack 102530, win 65535, length 101
20:30:45.352424 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6813
1:68224, ack 102530, win 65535, length 93
20:30:45.465986 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6822
4:68325, ack 102530, win 65535, length 101
20:30:45.527680 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 6701
5:68325, ack 102530, win 65535, length 1310

[А дальше пошло переподключение клиента]
20:30:45.577157 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [P.], seq 68325:68426, ack 102530, win 65535, length 101
20:30:45.737120 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 101070:102530, ack 67015, win 63038, length 1460
20:30:45.746649 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 102530, win 65535, length 0
20:30:45.747201 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [.], seq 102530:103990, ack 67015, win 63038, length 1460
20:30:45.747323 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 103990:105450, ack 67015, win 63038, length 1460
20:30:45.756988 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 105450, win 65535, length 0
20:30:45.757377 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 105450:106269, ack 67015, win 63038, length 819
20:30:45.929894 IP $rdp_client_IP.4463 > 192.168.10.164.3389: Flags [.], ack 106269, win 64716, length 0
20:30:46.113430 IP 192.168.10.164.3389 > $rdp_client_IP.4463: Flags [P.], seq 106269:106378, ack 67015, win 63038, length 109

На Фре:
# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            188.191.24.1       UGS        fxp0
127.0.0.1          link#3             UH          lo0
хх.хх.хх.0/24      link#2             U          fxp0
$ext_IP            link#2             UHS         lo0
192.168.0.0/24     link#1             U           re0
192.168.0.8        link#1             UHS         lo0
192.168.10.0/24    192.168.0.1        UGS         re0

# ifconfig
re0: flags=88843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,STATICARP> metric 0 mtu 1500
        options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        ether 20:cf:30:b3:27:46
        hwaddr 20:cf:30:b3:27:46
        inet 192.168.0.8 netmask 0xffffff00 broadcast 192.168.0.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether 00:02:b3:2d:83:42
        hwaddr 00:02:b3:2d:83:42
        inet $ext_IP netmask 0xffffff00 broadcast $ext_network.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo

На винде:
Настройка протокола IP для Windows

Ethernet adapter:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.164
   Маска подсети . . . . . . . . . . : 255.255.255.0
   IPv4-адрес. . . . . . . . . . . . : 192.168.10.164
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.1

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.164    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.164    266
    192.168.0.164  255.255.255.255         On-link     192.168.0.164    266
    192.168.0.255  255.255.255.255         On-link     192.168.0.164    266
      192.168.3.0    255.255.255.0     192.168.0.30    192.168.0.164     11
      192.168.5.0    255.255.255.0     192.168.10.1    192.168.0.164     13
     192.168.10.0    255.255.255.0         On-link     192.168.0.164    266
   192.168.10.164  255.255.255.255         On-link     192.168.0.164    266
   192.168.10.255  255.255.255.255         On-link     192.168.0.164    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.164    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.164    266
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.5.0    255.255.255.0     192.168.10.1       3
          0.0.0.0          0.0.0.0     192.168.0.1   По умолчанию
===========================================================================

Кто сталкивался? Что это может быть и как с этим бороться? Спасибо всем заранее за умные мысли!