O novo AD-DC em um novo site está recusando conexões IPv4 entre sites

Acabamos de adicionar um novo Controlador de Domínio Server 2008 (sp2) em um novo Site, nossa primeira configuração desse tipo. Está sobre um gateway de VPN WAN (10Mbit). Infelizmente está exibindo um estranho sintoma de rede. As conexões para as portas SMB (TCP / 139 e TCP / 445) estão sendo ativamente recusadas ... se a conexão estiver chegando em IPv4 puro. Se a conexão de entrada estiver chegando através do túnel 6to4, essas conexões estabelecem e funcionam bem.

Não é o Firewall, pois esse comportamento pode ser replicado com o firewall desativado. Além disso, ele está realmente emitindo pacotes RST para tentativas de conexão; algo que só acontece com um Firewall do Windows se houver um serviço por trás de uma porta e o próprio serviço negar acesso. Eu duvido que seja algum dispositivo de firewall na rede, já que o servidor que este substituiu estava executando o Samba e o acesso a ele da nossa rede principal funcionava muito bem.

Estou pensando que talvez tenha algo a ver com as listas de sub-redes nos sites do AD & Serviços, mas não tenho certeza. Nós não colocamos nenhum endereço IPv6 lá, apenas v4, e são as conexões v4 que estão sendo negadas. Infelizmente, não consigo descobrir isso. Precisamos ser capazes de falar com este DC do campus principal. Existe algum tipo de filtragem no nível SMB baseada em site? Eu posso falar com o DC no campus muito bem, mas acabou o túnel v6. Não tenho acesso a uma máquina comum nessa sub-rede remota, o que limita minha capacidade de teste.