無法從目標子網 ping vpn 客戶端

我正在使用 AWS vpn 端點將 vpn 客戶端連接到子網：

當使用 vpn 端點連接時，我能夠 ping cidr 10.0.0.0/16 上的 ec2 實例。但是，該 ec2 實例無法使用 172.16.0.0/16 cidr 中的客戶端 ip ping 客戶端。

我是否必須更新 VPC 或子網上的路由規則才能訪問客戶端 cidr？VPC 目前位於 cidr 10.0.0.0/16 上，而 ec2 實例所在的子網位於 cidr 10.0.64.0/24 的子網上。

我在 AWS Support 中打開了一張票，他們確認它按設計工作：流量只會在一個方向上工作。這是因為客戶端的 IP 是經過 NAT 的。這是我的票證響應的 AWS Support 響應：

我了解到您設置了客戶端 VPN (CVPN)，並且能夠成功連接（啟動 TCP 連接）到 EC2 實例，但 EC2 實例無法連接到分配給客戶端的客戶端 IP。

如以下連結所述： https ://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-client-vpn-to-securely-access-aws-and-on-premises-resources /

請注意，CVPN 將使用源 NAT (SNAT) 連接到關聯 VPC 中的資源。

因此，從客戶端 IP 發起的任何流量都將被 NAT（客戶端的源 IP 將更改）到 CVPN 端點的 IP 地址。因此，EC2 實例將看到流量似乎來自 CVPN 端點 IP，而不是來自客戶端的 IP。此外，VPC 路由表不會有到客戶端 IP 子網的路由（請參閱 VPC 路由表 rtb-0ef010cd7b387b8ff）。因此，只能從客戶端啟動到 EC2 實例的連接，並且對於在另一個方向啟動的連接不起作用。

引用自：https://serverfault.com/questions/964767