我来帮你排查这个点到站点（P2S）VPN无法访问站点到站点（S2S）连接的本地网络的问题——这是Azure VPN网关配置里比较常见的场景，核心原因通常出在路由传播、路由格式或上下游路由配置上，下面是具体的排查和解决步骤：

1. 检查Azure VPN网关的P2S路由传播设置 #

首先要确认Azure VPN网关是否会把S2S连接的本地网络路由推送给P2S客户端：

• 登录Azure门户，找到你的VPN网关，进入「配置」页面
• 定位到点到站点配置区域，确认「路由传播」是否处于启用状态（默认是开启的，但如果被手动关闭，S2S的路由就不会自动同步给P2S客户端）
• 如果未开启，勾选启用并保存配置，之后断开再重新连接P2S VPN

2. 验证Azure网关的路由表是否包含本地网络条目 #

接下来要确认Azure网关已经学习到了本地网络的路由：

• 进入VPN网关的「路由表」页面，查看是否存在目标为 10.2.0.0/16 的路由，下一跳指向你的S2S连接
• 如果没有这个路由条目，说明S2S连接的路由未被正确同步：
  • 先检查S2S连接的状态是否为「已连接」
  • 确认本地VPN设备是否正确向Azure网关宣告了 10.2.0.0/16 的路由（部分设备需要手动配置静态路由宣告）

3. 修正客户端routes.txt的格式 #

你当前使用的routes.txt格式不符合Azure P2S客户端的要求，Windows客户端的routes.txt只需要每行填写「目标网络,子网掩码」即可，不需要额外的命令参数：
正确的内容应该是：

10.2.0.0,255.255.0.0

修改后按以下步骤操作：

• 断开当前的P2S VPN连接
• 找到Azure VPN客户端安装目录下的routes.txt（通常在 C:\Program Files\Azure VPN Client\ 或用户专属的VPN配置文件夹中），替换为修正后的内容
• 重新连接VPN，然后在命令行执行 route print，查看是否存在指向VPN适配器的 10.2.0.0/16 路由

4. 检查本地网络的防火墙与路由配置 #

即使Azure侧配置正确，本地网络的拦截也会导致无法访问：

• 确认本地VPN设备允许来自P2S客户端地址池（你在Azure P2S配置中指定的地址段，比如常见的10.0.0.0/24）的流量访问 10.2.0.0/16
• 检查本地网络的防火墙是否拦截了来自P2S客户端的ICMP（ping）或业务流量
• 确保本地网络的路由表中存在对应条目，将P2S客户端地址段的流量转发到本地VPN设备

5. 确认VPN网关类型为路由型 #

最后要确认你的Azure VPN网关是路由型（Route-based），因为策略型（Policy-based）网关不支持P2S与S2S连接之间的路由转发。如果当前是策略型网关，需要重新部署为路由型网关。

内容的提问来源于stack exchange，提问作者Mo B.