VPN S2S no Azure VM500 para o ramo "Test" - Túneis ativos, mas sem tráfego de retorno para nenhum dos lados

Oi pessoal,

Acabamos de implantar um VM500 na Azure. Tenho um PA-440 no meu escritório e uma operadora de internet separada com um IP estático. Configurei um túnel IPSec S2S regular do PA-440 para o meu VM500 na Azure. O que vejo no sniffer tanto no PA-440 quanto no VM500 na Azure é que o tráfego de saída está seguindo as regras corretas para a VPN em relação às redes pares de cada lado, mas nenhum está recebendo nada de volta. Passei cerca de 12 horas revisando as configurações e não vi nada errado de um lado nem do outro. Nesse ponto, estou achando que o problema está na Azure e estou me perguntando se há algo que estamos deixando passar no lado da Azure para que essa passagem de tráfego realmente aconteça.

Estamos com peering BGP do VM500 para o vWAN na Azure onde está a máquina de testes. Estou redistribuindo rotas estáticas para o BGP no meu VM500 para que o vWAN aprenda sobre o ramo. As NSGs na Azure estão todas configuradas para permitir qualquer coisa em todas as NICs. O IP público de confiança na Azure está deNATando corretamente para o IP privado de confiança definido diretamente na porta de confiança no VM500. Consigo acessar o VM500 via internet aberta pelo IP público de confiança.

Alguém já passou por isso e, se sim, qual foi a solução? Para o que vale, também tenho um ASA na Azure que precisa receber outros túneis S2S de ramo, e ele tem exatamente o mesmo problema, o que reforça minha teoria de que há algo errado na Azure.

Edição: Firewall do Windows está desativado nos dois lados. Ping é permitido em todos os lugares. Recarreguei tanto o PA-440 quanto o VM500. Executei todos os comandos de reinício dos VPNs em ambos os lados. Sem alterações.

Você configurou UDR para sua vnet?

Provavelmente é isso ou esqueceu de permitir que a interface NIC permita o encaminhamento de pacotes no firewall. (Faz tempo que não olho essa configuração específica, mas me lembro de que essa é a terminologia.)