深信服VPN对接后只能单向访问

在华为云ECS部署了深信服虚拟VPN，已分配公网IP，模式默认是单臂，（网关模式不知道要如何设置），目前通过外网IP+4430可以访问VPN后台，分支网关是深信服AF，目前两边VPN连接已建立，目前状态是云上VPC主机可以访问分支局域网，分支局域网只能访问云上虚拟VPN的内网IP（10.100.10.2），其他都不通，其他服务器IP（10.100.10.13/14/15）跟云上VPN在一个网段同一个安全组内，不知道是哪里设置不对，请大佬解答

1.我做过和阿里云的vpn对接的项目，其实本质都差不多。
2.你这个华为云能访问到分支区域网，说明分支局域网的路由已经给到了华为云这边，也就是说，本地子网生效，而且分支这边是个AF，那就不用看考虑在核心上写回包路由的情况了。-----所以只要写了本地子网的，都能访问分支区域这边的ip
3.其次，你这边访问不了华为云上的其他ip，只能访问虚拟vpn的内网ip 一个，说明，没有路由。这个路由看两个情况
（1）华为云上的vpn本地子网没有写
（2）华为云上的ecs没有写回包路由，我记得没错的话，虚拟交换机是可以写路由的。在虚拟交换机上写路由。指向vpn的单臂接口ip即可。

一般是路由没有写好或是本地子网没有包括
分支和总部互联，总部可以访问分支，分支无法访问总部
SANGFOR VPN连接上了但是访问不了总部排查思路如下：
1、查看设备日志，过滤查看SANGFOR VPN/DLAN日志，看是否有明显提示权限不足等提示；（定位是否是内网权限配置问题）
2、测试两个设备间通过SANGFOR VPN是否可以互相ping通LAN口地址；（定位是否是VPN隧道问题）
3、根据网络结构分析总部、分支需要配置的路由，核实路由是否已经配置
4、检查两端设备配置，是否存在设备非直连网段没有添加本地子网

部分资源设置

IPSEC 可以实现只让分支访问部分的资源，可以在总部设备上配置内网服务权限设置或者配置防火墙过滤规则VPN-LAN实现

内网权限参考链接：内网权限配置指导

防火墙过滤规则参考链接：防火墙过滤规则配置指导

检查一下本地子网的宣告和回包路由。