分支机构走总部出口访问公网 75

如图：对云服务器5.5.5.5的访问以IP白名单形式进行控制。总部出口IP是固定的，一次添加白名单后可持续进行访问。分支机构的出口IP为拨号获取的动态IP，变动频繁，需要反复进行添加。

我的想法是，首先用IPsec VPN在总部及分支机构路由器的LAN网络之间建立隧道，然后再对两台设备的LAN口IP做GRE打通两台设备。做完GRE over IPsec后，我在总部添加路由 "172.16.70.0 255.255.255.0 下一跳 GRE Tunnel"、分支机构添加路由“5.5.5.5 255.255.255.255 下一跳 GRE Tunnel”。总部AF处将GRE Tunnel所在区域防火墙策略全部放通，并且对从GRE Tunnel到防火墙公网出口做了源NAT。

配置后进行测试，从分支机构LAN的设备可以Ping通8.8.8.1。从分支机构LAN设备追踪到5.5.5.5的路由，可以看到第二跳到了8.8.8.1，然后就再也走不通了。

想请教各位，是哪里的配置出了问题，还有什么需要更改？或者说这个需求可以不需要用到GRE，只用IPsec可以实现吗？