据我了解，在您的拓扑中，您​​有两个防火墙。一种是 Cisco ASA，另一种是 DrayTek 防火墙设备。此外，ASA 的外部接口 IP 地址是 192.168.0.2（私有 IP），而 DrayTek 外围防火墙的外部接口 IP 地址是公共 IP 地址。

因此，DrayTek 设备是让您连接到互联网的设备，因为它具有公共 IP 地址。VPN 应在 DrayTek 设备上建立。

如果您要建立 SSL VPN 或远程 VPN，那么您可以通过配置虚拟 IP 池在防火墙中进行相同的配置。否则，如果要作为站点站点或 L2L VPN 连接，您将需要来自相邻对等方的 IKE/ISAKMP 参数以及连接协商和数据传输。我建议查看 DrayTek 设备指南和手册以进行配置。

如果您通过公共网络 (Internet) 连接到 Azure，则在您的 ASA 上添加一个面向公共的端口，用于通往 Azure 的 VPN 隧道。您可以对 ASA 做一些静态 NAT 恶作剧，但它的工程设计很差，因为它违反了KISS 原则。