AWS VPCとオンプレ間のVPN通信ができない
表記にかかる質問をさせてください。
AWS VPCを構成し、オンプレ(自宅)に設置したvyosサーバ(VPN)間での通信が行えません。
現在実施していることは以下のとおりです。
前提
オンプレ側のネットワークは192.168.11.0/24、AWS側は192.168.12.0/24、192.168.13.0/24 → プライベートアドレスです。
[AWS側]
1 VPC
・専用のVPCを作成し、2つのCIDRブロックを設定(192.168.12.0/24、192.168.13.0/24)
・2つのサブネットを設定(192.168.12.0/24、192.168.13.0/24)
・ルートテーブルは以下のとおり。(ルート、ターゲット)
192.168.12.0/24 local
192.168.13.0/24 local
0.0.0.0/0 インターネットゲートウェイ
192.168.11.0/24 仮想プライベートゲートウェイ
・1つのインターネットゲートウェイを設定(VPCにアタッチ)
・ネットワークACLは以下のとおり
インバウンドルール
100 全てのトラフィック 全てのプロトコル ソース 192.168.11.0/24 許可
* デフォルトの拒否ルールです
アウトバウンドルール
デフォルトのまま(0.0.0.0/24の許可と拒否が設定されているもの)
・セキュリティグループは以下のとおり。 →後述するEC2インスタンスに紐づけたもの
インバウンドルール
すべての トラフィック すべて すべて 192.168.11.0/24
すべての ICMP - IPv4 ICMP (1) すべて ::/0
アウトバウンドルール
すべての トラフィック すべて すべて 0.0.0.0/0
・カスタマーゲートウェイ
VPCにアタッチし、BGPASNはデフォルトの65000
・仮想プライベートゲートウェイ
上記に紐づけて、AmazonASNはデフォルトの10124
・VPN接続
ルーティングはダイナミック、カスタマーGWアドレスは自宅のルータアドレス(インターネット側)
2 EC2
・EC2インスタンス(AmazonLinux)を立ち上げ、VPCにアタッチ。プライベートアドレスは192.168.12.10とした。(ElasitIPは不要なため設定なし)
[自宅側]
構成は以下のとおり。
デフォルトGW 自宅ルータ 192.168.11.1
VPNルータ(vyos) 192.168.11.2 eth1に設定し、NICは1つのみ
AWSVPCでダウンロードした設定を反映(set vpn ipsec site-to-site peerのローカルIPは192.168.11.2に変更)
上記設定を反映したところ、VPN(ipsec)は問題なく張られ、VPC側では問題なくUP状態になっています。また、VPCから見えるvpnトンネルのIP(外部アドレス)に対して、vyos(自宅)からpingを通すと問題なし。
しかし、EC2に対して、pingやSSH(AWS発行の鍵利用)を実行しても通信できない状態になっています。
Wiresharkでpingをモニタリングしたところ、vyosからAWS側の外部IPに対してESPで通信しているところはわかりますが、VPC側のフローログを確認しましたがログは拾えていない(届いていない)ようでした。
考えられる原因はなにかわかりますでしょうか。そもそもこの構成(VPNサーバ→自宅ルータ→インターネット→VPC→EC2)が正しく機能するのかをご教授ねがえますでしょうか。