Балансировщик нагрузки Azure с портом скрытия правил NAT для RDP

У меня есть Интернет с балансировщиком нагрузки Azure с общедоступным статическим IP-адресом (назовите его PIP), и я добавил правило NAT - перенаправьте TCP-порт 12345 на локальный (IP-адрес подсети) 10.2.2.2:3389 (виртуальная машина, которая не имеет общедоступного IP-адреса). И я пытаюсь установить NSG для подсети и сетевой карты виртуальной машины.

правила NSG подсети (все TCP):

• 100: исходный PIP:* => 10.2.2.2:3389 (от IP-адреса балансировщика нагрузки до локального IP-адреса виртуальной машины)
• 120: Источник Интернет:12345 => 10.1.2.4:3389

Правила NSG VM:

• 100: PIP: * => 10.2.2.2:3389

И вот в чем проблема: если я использую поток IP-адресов Network Watcher, проверьте и установите для локального IP-адреса 10.2.2.2:3389, Удаленный IP-адрес:[PIP:12345] Я получаю зеленый свет. То же самое с настройкой обоих портов (локального и удаленного) на 3389. Но когда я пытаюсь подключиться к удаленному рабочему столу к этой виртуальной машине извне, я получаю ошибку соединения!

Понятия не имею почему. ВМ работает и работает, все хорошо здесь.