Маршрутизация трафика между двумя местоположениями VPN типа "сеть-сеть" в Azure

У меня есть единственный шлюз виртуальной сети Azure, на котором запущен «Базовый» SKU VPN (MainVGW) в режиме «на основе маршрута» в Австралии. Восточный регион. MainVGW имеет два "подключения" (BR и MH), которые представляют собой соединения IPsec Site-to-Site VPN с двумя отдельными сайтами (SITE 1 и SITE 2). Затем у меня есть одна виртуальная машина (TestVM), работающая в том же регионе. Каждый удаленный сайт использует Ubiquiti EdgeRouter, который настроен для подключения к его IPsec VPN и туннелирования трафика через него, используя VTI со статическими маршрутами (BRrouter и MHrouter). На каждом сайте также есть ПК, подключенный к маршрутизатору с IP-адресом в локальном диапазоне (BRtestPC и MHtestPC)

Вот схема сети

VPN-соединения работают хорошо в том смысле, что с каждого сайта тестовый ПК (BRtestPC или MHtestPC) может взаимодействовать с TestVM в Azure. Однако я не могу связаться от BRtestPC к MHtestPC через MainVGW, хотя маршрутизаторы на каждом конце имеют отдельный статический маршрут для передачи трафика через MainVGW на другой сайт. Я тоже могу ' t ping BRrouter из MHrouter или наоборот, хотя оба могут успешно ping TestVM.

Документация, которую я прочитал, похоже, указывает, что это должно работать без какой-либо дополнительной настройки. Информация о том, что делать при использовании маршрутизации на основе политик, представлена ​​здесь https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-connect-multiple-policybased-rm- ps , но, опять же, это указывает на отсутствие дополнительной информации, необходимой для соединений на основе маршрутов.

Я думаю, что статические маршруты настроены правильно на моих маршрутизаторах, и мне кажется, что на стороне Azure должна быть настройка, предотвращающая поток трафика между VPN-соединениями IPsec Site-to-Site, которые мне почему-то не хватает - Может ли кто-нибудь избавиться немного света?

Спасибо.