Установление сетевых подключений в регионах GCP

У меня есть промежуточная среда в GCP как отдельный проект. Внутри проекта у меня есть тестовая виртуальная машина, на которой я могу развернуть компоненты для тестирования наших внутренних сервисов. Большинство наших сервисов развернуты в Северной Америке-Северо-Востоке1, но поскольку я работаю в Нидерландах, я разместил свою тестовую виртуальную машину в Европе-Западе4. Мы также используем Tailscale для доступа к экземплярам виртуальных машин в GCP с наших локальных компьютеров разработки, поэтому я хотел бы иметь возможность подключаться к моей тестовой виртуальной машине в Europe-west4 из моего ящика разработчика через Tailscale.

Однако, хотя я настроил шлюз Tailscale для утвержденного маршрута к подсети europe-west4, я не могу подключиться к тестовой виртуальной машине со своего локального компьютера. Я попробовал подключиться по SSH к шлюзу Tailscale и проверить связь с тестовой виртуальной машиной, но это также не помогло, так что похоже, что Tailscale, вероятно, здесь не виноват.

Я покопался в правилах брандмауэра, которые есть в нашей сети, и кажется, что это соединение определенно должно быть разрешено. У нас естьdefault-allow-internalправило, которое разрешает входящий трафик с адреса 10.128.0.0/9 во все экземпляры (а в нашем брандмауэре есть только явные правила разрешения). Для наглядности я также добавилallow-tailnetправило, разрешающее вход с 100.64.0.0/10, но, похоже, это не помогло (и, если я правильно понимаю, IP-адреса CGNAT в любом случае следует использовать только внутри IP-путей Wireguard).

Я попытался настроить тест подключения от 10.162.0.18 (наш шлюз Tailscale) к моей тестовой виртуальной машине, что дало мне следующий результат:

Есть какие-нибудь предложения о том, что мне может не хватать? Был бы очень признателен!