Мы знаем, что транзитная маршрутизация возможна при использовании P2S VPN и попытке подключения к локальной сети через S2S VPN в некоторых случаях ios (если эта S2S VPN использует маршрутизацию BGP и если маршруты на клиенте добавлено вручную, см. https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-point-to-site-routing). Но это не упоминает ExpressRoute.
Как написано в ответе Альдвена, (https://docs.microsoft.com/en-us/azure/expressroute/expressroute-howto-coexist-resource-manager#limits -и-ограничения ) MS заявляет, что транзитная маршрутизация не поддерживается для ExpressRoute, но упоминает только для соединения через VPN типа «сеть-сеть» - к сожалению, это не означает, что транзитная маршрутизация невозможна при использовании P2S VPN.
Однако решение Microsoft Azure Virtual WAN (см. https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about), поддерживает несколько различных сценариев транзитивной маршрутизации ios - "Эти функции включают в себя подключение филиала ..., подключение VPN между сайтами, подключение VPN удаленного пользователя (точка-сайт), частное (ExpressRoute) ) подключение, внутриоблачное подключение (транзитивное подключение для виртуальных сетей), VPN ExpressRoute Interconnectivity, Routing, Azure межсетевой экран, шифрование для частного подключения и т. д. c. " Итак, мое прочтение здесь состоит в том, что Azure Virtual Wan будет поддерживать все эти сценарии транзитивной маршрутизации, чтобы разрешить транзитивную маршрутизацию для P2S и S2S и ExpressRoute, и действительно позволит P2S VPN получать доступ к локальной сети через ExpressRoute в соответствии со сценарием OP.