Невозможно проверить связь с VPN-клиентами из целевой подсети

Я открыл заявку в AWS Support, и они подтвердили, что она работает как задумано: трафик будет работать ТОЛЬКО в одном направлении. Это потому, что IP-адрес клиента настроен на NAT. Вот ответ службы поддержки AWS на мой ответ на запрос:

Я понимаю, что у вас настроен клиентский VPN (CVPN), и вы смогли успешно подключиться (инициировать TCP-соединение) к экземплярам EC2, но экземпляры EC2 не могут подключиться к клиентскому IP-адресу, назначенному клиентам.

Как указано в следующей ссылке: https://aws.amazon.com/blogs/networking-and-content-delivery/introduction-aws-client-vpn-to-securely-access-aws-and-on-premises-resources/

Обратите внимание, что CVPN будет использовать NAT источника (SNAT) для подключения к ресурсам в связанных VPC.

Таким образом, любой трафик, инициированный с IP-адреса клиента, будет преобразован через NAT (исходный IP-адрес клиента будет изменен) на IP-адрес конечной точки CVPN. Таким образом, экземпляр EC2 будет видеть, как будто трафик исходит от IP-адреса конечной точки CVPN, а не с IP-адреса клиента. Кроме того, в таблице маршрутов VPC не будет маршрута к подсети IP клиента (см. Таблицу маршрутов VPC rtb-0ef010cd7b387b8ff). Следовательно, соединение может быть инициировано только от клиента к экземпляру EC2, и оно не будет работать для соединений, инициированных в другом направлении.

проверьте группы безопасности; как только вы связываете первую подсеть с конечной точкой, AWS автоматически добавляет группу безопасности по умолчанию, которая может не пропускать входящий трафик ICMP из подсети, в которой работает EC2.