Cisco ISR 4331 工作，但 ping/ssh/web outside/GRE 不工作

我已将旧路由器更改为 Cisco ISR4331。已经设置好一切，没什么花哨的，没有 VLAN/OSPF/冗余等。只是办公网络的网关。

所以，我换了盒子，用户很高兴……有点。互联网工作，DHCP 发出租约。但：

• 我可以通过 SSH/web over LAN 接口访问 ISR，而不是通过 WAN。
• 我无法从 WAN 接口 ping 8.8.8.8（但来自 LAN 的 ping 有效！）
• 到其他分支机构的 GRE 隧道无法正常工作。我看到隧道两边都是 UP，但我不能 ping 也不能访问另一边的资源。在第二个分支 ISR 上没有更改任何内容，相同的 IP，一切都相同。

因此，WAN 接口上似乎有一些东西被阻止了，但究竟是什么 - 我无法理解它。我试图关闭 WAN 上的所有访问组 - 没有结果。提前感谢您的帮助！

有一段与该问题相关的conf：

Current configuration : 8563 bytes
!
! Last configuration change at 13:31:28 UTC Fri Feb 18 2022
!
version 16.6
!
interface Tunnel1
 description *Tunnel to X*
 ip address 10.2.20.18 255.255.255.252
 ip access-group OurAccess in
 ip tcp adjust-mss 1420
 tunnel source GigabitEthernet0/0/0
 tunnel destination WAN_IP_of_2dn_branch
!
interface GigabitEthernet0/0/0
 description WAN Interface
 ip address 1.1.1.1 255.255.255.0
 ip nat outside
 ip access-group WAN in
 negotiation auto
!
interface GigabitEthernet0/0/1
 description LAN Interface
 ip address 2.2.2.2 255.255.255.0
 ip nat inside
 negotiation auto
!

ip nat inside source list LanForNAT interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
ip http server
ip http authentication local
ip http client source-interface GigabitEthernet0



ip route 0.0.0.0 0.0.0.0 ISP_gw
ip route 6.6.6.0 255.255.255.0 Tunnel1
!
ip ssh port xxxx rotary 1
!
!
ip access-list extended OurAccess
 permit ip any any
ip access-list extended LanForNAT
 permit ip 2.2.2.0 0.0.0.255 any
ip access-list extended WAN
 permit ip any any
 permit icmp any any
ip access-list extended denyssh
 deny   tcp any any eq 22
 permit tcp any any eq xxxx



line vty 0 4
 access-class denyssh in
 privilege level 15
 password zzz
 login local
 rotary 1
 length 0
 transport input ssh
 transport output ssh
!