Конфигурация AWS Site-to-Site VPN не разрешает входящий трафик

Я следовал инструкциям здесь: https://aws.amazon.com/blogs/networking-and-content-delivery/simulatory-site-to-site-vpn-customer-gateways-strongswan/

Я могу успешно настроить и запустить VPN, но не могу успешно пропинговать внутренние IP-адреса из-за VPN.

Вот моя настройка: «Локально» моделируется с использованием VPC с IP-адресом: 172.19.0.0/16. VPN развертывается на экземпляре EC2 в подсети. 172.19.16.0/20. Эта подсеть имеет следующую таблицу маршрутов:

Где vgw-XXXXXXXXXэто виртуальный шлюз, связанный с VPN, который у меня есть.

Я могу успешно отправить трафик из своего «локального» VPC в облачный VPC, но трафик не возвращается. Я проверил это с помощью SSH-подключения к экземпляру EC2 в моем «локальном» VPC, а затем пропинговал частный IP-адрес экземпляра EC2 в моем облачном VPC, и я вижу, что пинги получены экземпляром EC2 в облачном VPC. , но мой «локальный» экземпляр никогда не получает ответ.

Я проверил свои группы безопасности и NACL, и они не предотвращают этот тип трафика.

Здесь что-то неправильно настроено?