O site-to-site (IPSEC) está conectado, mas não pode pingar nada além de roteador

Basta configurar uma nova assinatura do Azure e estou perplexo ao tentar solucionar o motivo pelo qual não consigo executar ping de nenhum VMWare local de uma VM do Azure. Depois de configurar com êxito uma VPN IPSec Site-To-Site.

Estou fazendo isso como um exercício de aprendizado para configurar um laboratório doméstico e trabalhar com minhas habilidades de rede ruins: (

Eu tenho a seguinte configuração:

• Esxi Server com uma VM (Portal) em uma rede vlan50
• Interruptor gerenciado com marcação vlan50
• roteador pfSense com endereço 192.168.20.1/24 na vlan50
• Um túnel IPSec funcional do meu laboratório 192.168.20.0/24 para o Azure rede virtual 192.168.50.0/24

Então, para testes, criei 1 VM no laboratório local e 1 VM no Azure

• VM no local [ Portal ] - 192.168.20.2 vlan50
• VM do Azure [ TestVM ] - 192.168.50.100 (sem vlan)

Do Portal Server, posso fazer ping no gateway local 192.168.20.1,

E no pfSense posso fazer ping na VM do Azure:

Ping do pfSense para o AzureVM

E no Servidor do Azure, posso executar o ping na interface 192.168.20.1.

Ping do Azure para a interface pfSense , sem reputação suficiente: (

No entanto , as VMs não podem ver umas as outras \ pingando umas às outras. Não consigo entender isso. Adicionei regras em IPSec & o vlan50 para permitir todo o acesso a cada sub-rede. Tenho a sensação de que meu problema é uma regra de firewall ou uma tag vlan?

Aqui estão algumas coisas interessantes que estou percebendo durante a solução de problemas:

1. Não vejo nenhum tráfego ICMP na interface do vlan50 ao executar ping com êxito do pfSense para o AzureVM
2. Quando (sem êxito) faz ping da caixa do AzureVM para o Portal, vejo solicitações ICMP não atendidas de 192.168.50.100 ao escutar na caixa pfSense na interface vlan50

Eu também criei um esboço de rede muito grosseiro com capturas de tela da configuração que eu configurei: Layout da Rede Crude