VPN Site to Site links stop passing traffic.

I have a fair few VPN site to site links.  In the last few months I have been having many issues with Moscow-London and Beijing-Hong Kong links.

The IPSEC site to site links work fine, link shows as up!

But, no traffic passes them, cannot ping over them to any IP in the remote sites.  Rebooting the devices brings the links back up but no luck.

I was using Certs for the link auth.  In desperation I changed to RSA key auth and this fixed the issue.

Now, Moscow-London is broken again and it already uses RSA key.

Any ideas?  As I say, the links come up ok.

Log below.

2015:02:11-11:54:16 mow pluto[6334]: added connection description "S_LondonOffice"
2015:02:11-11:54:16 mow pluto[6334]: "S_LondonOffice" #44: initiating Main Mode
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [strongSwan]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [Cisco-Unity]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [XAUTH]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [Dead Peer Detection]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [RFC 3947]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: responding to Main Mode
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: NAT-Traversal: Result using RFC 3947: no NAT detected
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: Peer ID is ID_FQDN: 'lon.micromine.com'
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: we don't have a cert
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: Dead Peer Detection (RFC 3706) enabled
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: sent MR3, ISAKMP SA established
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #46: responding to Quick Mode
2015:02:11-11:54:18 mow pluto[6334]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ipsec" connection="LondonOffice" address="27.13.68.112" local_net="10.0.114.0/24" remote_net="10.0.41.0/24"
2015:02:11-11:54:18 mow pluto[6334]: "S_LondonOffice" #46: IPsec SA established {ESP=>0x99f5ff5a 

This thread was automatically locked due to age.