а ipvsadm -Ln -t 10.96.0.1:443 что говорит? ну и потыкаться с пода напрямую в адрес ноды вангую правила для сната\маскарада нет
и calicoctl ipam show --show-blocks показывает прям все занято, по всем блокам?