Pfsense multi site-to-site wan с маршрутизацией на основе политик

Мы хотим создать гибридный мульти WAN-сайт для соединения между двумя (и более?) Удаленными офисами.

Офис имеет два WAN-соединения с штаб-квартирой. Один MPLS и одно обычное интернет-соединение. В конце концов, маршрутизация на основе политик должна использовать оба соединения (например, отправлять важный трафик, такой как VoIP, по MPLS и все остальное по более дешевой линии).

Мы хотим отправлять трафик на каждый интерфейс только в зашифрованном виде по каждому проводу, поэтому позже мы создадим соединение IPSec или OpenVPN для каждой ссылки. Для тестирования мы начали с туннеля GRE. Обе стороны видят и могут общаться друг с другом. Мы определили два шлюза на каждой стороне на устройствах pfsense. Каждый с GRE IP удаленного устройства pfsense. Мы также поместили оба в группу шлюза и настроили различные уровни. После этого мы создали плавающее правило, которое сопоставляет входящий трафик на стороне локальной сети с удаленной сетью и отправляет его в группу шлюзов. Это работает, как и ожидалось, с обеих сторон. Но удаленная сторона, которая получает пакет, делает что-то не так. Pflog сообщает нам, что состояние создается с правилом по умолчанию на интерфейсе GRE (соответствует GRE0). Мы также видим трафик на удаленном хосте и его ответ, но по неизвестной причине трафик не возвращается через туннель. Кажется, устройство pfsense как-то забывает / игнорирует состояние? (Требуется дальнейшее расследование)

Я не могу представить конфигурацию, так как пишу это из дома, и машины находятся в нашем офисе (в настоящее время в лабораторной среде). Мы видим, что пакеты поступают на удаленный сайт и сервер, но возвращаются отправителю. Из того, что я понимаю, пакет должен автоматически возвращаться на шлюзе, на котором он прибыл, так как там создается состояние. Но я также читал, что у правила перенаправления в pf также должно быть правило возврата, с другой стороны. Но такого правила не было найдено в pfctl -sr, И никакой опции в веб-интерфейсе de pfsense.

Мы не делаем здесь никакой NAT!

Буду признателен за любые идеи о том, как люди решили такую ​​установку, и что я мог сделать неправильно?

Мне жаль, что я не могу предоставить больше информации, но я пытаюсь решить не частную проблему в свое личное время:)