Маршрутизировать трафик между двумя VPN-местоположениями Azure.

У меня есть один виртуальный сетевой шлюз Azure, на котором запущен "Основной" SKU VPN (MainVGW) в режиме "На основе маршрутов" в восточном регионе Австралии. MainVGW имеет два "соединения" (BR и MH), которые являются VPN-соединениями IPsec между сайтами с двумя отдельными сайтами (SITE 1 и SITE 2). Затем у меня есть одна виртуальная машина (TestVM), работающая в том же регионе. Каждый удаленный сайт использует Ubiquiti EdgeRouter, который настроен для подключения к своей IPsec VPN и туннелирования трафика через него с использованием VTI со статическими маршрутами (BRrouter и MHrouter). Каждый сайт также имеет ПК, подключенный к маршрутизатору с IP-адресом в локальном диапазоне (BRtestPC и MHtestPC).

Вот схема сети

VPN-соединения работают хорошо в том смысле, что с каждого сайта тестовый ПК (BRtestPC или MHtestPC) может взаимодействовать с TestVM в Azure. Однако я не могу связаться от BRtestPC до MHtestPC через MainVGW, даже если маршрутизаторы на каждом конце имеют отдельный статический маршрут для передачи трафика через MainVGW на другой сайт. Я также не могу пропинговать BRrouter от MHrouter или наоборот, хотя оба могут успешно пропинговать TestVM.

Кажется, что прочитанная документация указывает на то, что это должно работать без какой-либо дополнительной настройки. Есть некоторая информация о том, что делать, если запустить маршрутизацию на основе политик здесь https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm-ps но снова это указывает на то, что для соединений на основе маршрутов не требуется никакой дополнительной информации.

Я думаю, что статические маршруты правильно настроены на моих маршрутизаторах, и мне кажется, что на стороне Azure должна быть настройка, предотвращающая поток трафика между VPN-соединениями IPsec между сайтами, который мне как-то не хватает - Может кто-нибудь пролить свет?

Благодарю.