问Azure NSG阻塞VPN路由流量

EN

在我们的蔚蓝景观中，我们有几个越南船民。对于其中之一，我们有一个要求，它需要有一个DNS名称才能访问它。过去，我们在私有DNS区域上遇到了一些麻烦，所以我们选择将一个公共IP绑定到机器上，这将给我们一个免费的(.cloudapp.azure.com) DNS。

这个VM不应该在互联网上使用，所以我们在它所居住的子网上添加了一个NSG，它在子网中阻塞了流量，但是允许虚拟网络流量。

在不同的、成对的vnet上，我们有一个VPN网关，我可以使用它来访问环境及其内部资源。现在我看到的是，我不能使用这台机器的DNS名称连接到它，除非我打开前面提到的NSG允许所有流量。一开始，我想:尽管我已经启动并运行了VPN，但是流量被路由到公共IP，被看作是“外部”流量。所以我增加了一条本地路线(路线添加.)将流量发送到公共IP到我的VPN网关地址。我的推理是:流量现在是通过VPN定向的，所以从那里开始，内部路由将确保流量被看作是虚拟网络流量，并且一切都会很好。

足以说明:这是行不通的。但我似乎不明白为什么不行，这就是我想知道的。如果有任何其他方法来满足需求，这也是可以的(减去私有DNS选项，这也不适用于VPN，我相信)。