Пинг между хостами через туннель Layer2 не работает

У меня есть серьезные проблемы с моей недавно настроенной сетью с туннелем VPN уровня 2.

Я нарисовал небольшую диаграмму, чтобы показать простую версию установки:

Зеленые линии проходят через VPN, синие - нет.

Каждый шлюз имеет интерфейс моста, который соединяет интерфейс VPN с локальным интерфейсом.

Запуск TCPdump на этом интерфейсе показывает большой трафик, и я могу видеть эхо-запросы по обе стороны туннеля.

Однако что-то не так с таблицей ARP, поскольку она либо не заполняется, либо хосты не получают никаких ответов ARP.

Итак .. Есть множество arp who-has пакеты на интерфейсах моста, но нет arp reply от этих хозяев.

Однако запуск TCPdump на хосте показывает, что он действительно отвечает на эти пакеты ARP. Они просто никогда не достигают интерфейса моста.

У меня здесь серьезно заканчиваются идеи ..

Я использую Sophos UTM на обоих шлюзах, и это программное обеспечение построено на SuSE linux.

Обновить:

Я поигрался с ARPing, чтобы немного отладить, и когда ARPing'ing SITE2 Gateway от хозяина в SITE1 сторона сети, я получаю один одноадресный ответ - но нормальный пинг все равно не работает. При ARPing от хоста на SITE1 к хозяину в SITE2, я получил нет отвечает вообще. Однако я вижу who-has пакеты: 12:05:47.910181 arp who-has 10.127.0.14 (Broadcast) tell 10.127.0.11 - но никаких ответов.
Однако ответный пакет отправляется с сервера, поэтому проблема не в этом.

Это сводит меня с ума..