本地防火墙公网IP口连接腾讯云IPsec网关，正常完成协商、建立隧道，但是本地和云端主机不能互通

通过本地防火墙公网IP口连接腾讯云互联网VPN网关，本地使用IPsec保护隧道接口上的报文方式配置，可以正常完成协商、建立隧道，但是本地和云端主机不能互通。

在防火墙上抓包， 验证情况：

1. 云端主机ping本地主机，可以发现B.B.B.B -> A.A.A.A 的ESP协议报文，云端主机echo包已送至防火墙

2. 无论云端主机ping本地主机，或本地主机ping云端主机，均未发现 A.A.A.A -> B.B.B.B ESP报文，本地主机echo包未送至IPsec隧道

3. 即使双方不ping，可以发现 B.B.B.B -> A.A.A.A、 A.A.A.A -> B.B.B.B的ISAKMP报文，双方网关保持隧道通信功能正常

其他配置情况

本地防火墙配置了Outbound DNAT、Outbound Load Balance功能，已试图通过策略规避流量。配置摘要如下

##  防火墙

# 接口

int tunnel 0

ip address 172.30.254.254 24

source A.A.A.A

destination B.B.B.B

tunnel protection ipsec profile profile-1

# IPSec隧道协商成功，IPSec profile、IKE profile配置略

# 路由

ip route-static 172.16.0.0 16 tun0 B.B.B.B

# 其它路由172.30转发至路由器（内网工作正常，配置略）

# 负载均衡

# 配置ACL转发（虚拟）内网所有流量

acl advanced 3000

rule 0 permit ip destination 172.16.0.0 0.15.255.255