Подключен Site-to-Site (IPSEC), но не может пропинговать ничего, кроме маршрутизатора

Просто установите новую подписку Azure, и я озадачен попыткой выяснить, почему я не могу пропинговать локальные машины VMWare с виртуальной машины Azure. После успешной настройки IPSec Site-to-Site VPN.

Я делаю это как учебное упражнение для настройки домашней лаборатории и работаю над своими дерьмовыми сетевыми навыками:(

У меня есть следующие настройки:

• Esxi Server с виртуальной машиной (порталом) в сети vlan50
• Управляемый коммутатор с тегами vlan50
• Маршрутизатор pfSense с адресом 192.168.20.1/24 на vlan50
• Работающий туннель IPSec из моей лаборатории 192.168.20.0/24 в виртуальную сеть Azure 192.168.50.0/24

Поэтому для тестирования я создал 1 ВМ в локальной лаборатории и 1 ВМ в Azure.

• Он Премьер В.М. [Портал] - 192.168.20.2 vlan50
• Azure VM [TestVM] - 192.168.50.100 (без vlan)

С сервера портала я могу пропинговать локальный шлюз 192.168.20.1,

А из pfSense я могу пропинговать виртуальную машину Azure:

Пинг из pfSense в AzureVM

А с сервера Azure я могу пропинговать интерфейс 192.168.20.1.

Пинг из Azure в интерфейс pfSense, не хватает репутации:(

Однако виртуальные машины не могут видеть друг друга \ping друг друга. Я не могу этого понять. Я добавил правила как в IPSec, так и в vlan50, чтобы разрешить весь доступ к каждой подсети. У меня такое чувство, что моя проблема - это либо правило брандмауэра, либо тег vlan?

Вот некоторые интересные вещи, которые я замечаю при устранении неполадок:

1. Я не вижу трафика ICMP на интерфейсе vlan50 при успешном пинге из pfSense в AzureVM
2. Когда (безуспешно) выполняется ping из окна AzureVM в портал, я вижу неотвеченные запросы ICMP от 192.168.50.100 при прослушивании окна pfSense на интерфейсе vlan50

Я также создал очень грубую схему сети со скриншотами конфигурации, которую я настроил: Схема сырой сети