Acessando recursos de rede local da aplicação web azure

Eu preciso acessar alguns recursos de rede local de um webapi sendo executado como um serviço de apps.

Por razões, nosso gateway de rede local (Cisco ASA) requer o que, na linguagem clássica de vnet, era chamado de roteamento estático e, na nova linguagem de RM, é chamado roteamento baseado em política. Eu não tenho a opção de usar conexão híbrida.

Infelizmente, a VPN ponto-a-ponto do Azure para conectar AppServices a VNETs requer roteamento baseado em rota.

Então acabei com a configuração mostrada abaixo.

De uma VM nas redes 1 e 3, posso acessar recursos na rede local. De uma VM na vnet 2, posso acessar recursos nas redes 1 e 3, mas não na rede local. Do webapi (AppService) eu posso acessar recursos no vnet2, mas nada no vnet1, 3 ou rede local.

Não consigo ativar "allow gateway transition", pois isso exige que o peer vnet não tenha um gateway existente e também não seja permitido em gateways estáticos / baseados em políticas.

O que eu quero é permitir o acesso direto do AppService ao netowrk local ou o acesso por meio de um proxy instalado em uma rede virtual. Alguma idéia?

Eu posso fazer o jumb fazendo com que a API (AppService) chame uma API que atua como um proxy em execução em uma VM na vnet 2 chame uma API que atua como um proxy em execução na vnet 1 (ou 3) que chama o recurso no rede local. Mas tem que haver um jeito melhor.