Конечная точка VPN клиента AWS — некоторые IP-адреса клиентов не разрешают доступ к ресурсам

Я использую конечную точку VPN клиента AWS с двумя VPC:

• VPN VPC (10.100.0.0/16)
• Приложение VPC (10.200.0.0/16)
• Пиринг VPC между 2 VPC и правилами таблицы маршрутов для обмена данными между ними.

Мои ресурсы в «App VPC» размещены в подсетях, в которых есть правила маршрутизации к пиринговому соединению с «VPN VPC».

Группа безопасности, используемая ресурсами в App VPC, разрешает трафик из 10.100.0.0/16

Проблема в том, что когда я подключаюсь к VPN и получаю назначенные IP-адреса, такие как 10.100.20.132, 10.100.20.162, 10.100.20.165, 10.100.20.167 он не может получить доступ к ресурсам.

Но когда мне назначают IP-адреса, такие как 10.100.20.2, 10.100.20.3, 10.100.20.6, 10.100.20.34 это работает.

Я запустил несколько анализаторов достижимости, чтобы убедиться, что трафик из VPN может достигать ресурсов, которые всегда показывают успех с трассировкой: «Пиринг VPC» -> «NACL» -> «SG (10.100.0.0/16)» -> «ENI» — «Экземпляр»

Сеть - не моя область, любое понимание того, где искать, приветствуется.

Моя ошибка была в таблицах маршрутизации из подсетей «Ассоциации». У меня есть 2 подсети, для одной я добавил маршрут для блока CIDR «App VPC» в таблице маршрутов:

Подсеть 1

• 10.200.0.0/16 -> Пиринг VPC (VPN к приложению)
• 10.100.0.0/16 -> местный
• 0.0.0.0/0 -> ИГВ

Но я забыл это сделать в таблице маршрутов второй связанной подсети.

Подсеть 2

• 10.100.0.0/16 -> местный
• 0.0.0.0/0 -> ИГВ

Я просто добавил недостающий маршрут, и это сработало.