总部防火墙：
独立于防火墙供应商，您需要一个额外的策略来允许从隧道端到您的 WAN 端口（目标地址“全部”）的流量。在这里，您必须应用源 NAT，因为分支网络上使用的私有地址不会通过 Internet 路由。在状态防火墙中，回复流量将被自动允许从 WAN 端口流向隧道，并最终流向分支 LAN。

分支防火墙：
正如您已经在分支路由器/防火墙上声明的那样，您需要一个额外的默认路由指向总部防火墙的（私有）地址。相关的策略应该允许“所有”作为目的地，而不仅仅是总部的私有地址范围，就像它目前可能做的那样。

编辑：
在分支防火墙上，您需要一条额外的（主机）路由到总部防火墙的公共地址。否则，当隧道关闭时，无法访问此地址。例如，通过 WAN 端口添加“1.2.3.4/32”。
如果您已经有一个默认路由（指向 WAN 端口），那么要么删除它，要么确保它的距离比通往隧道的新默认路由更长。

如果它是私人链接，您真的需要加密吗？可能是这样？只是问问。

如果是这样，您需要在分支站点 VPN/安全设备上禁用拆分隧道。除此之外，只需一条指向 VPN 对等体 (HQ) 的默认路由即可。哦，你需要有一条路由回到总部设备中的分支子网，以便他们知道如何路由数据包。还可能需要配置允许特定目标子网穿越 VPN 隧道。