O roteamento entre instâncias do EC2 não está chegando

Eu quero configurar uma VPN a partir de uma instância do EC2 em um VPC padrão que as outras instâncias no mesmo VPC possam usar, por isso estou fazendo alguns testes iniciais. Eu tenho 2 instâncias de teste em execução e eles podem pingar uns aos outros. Quando eu roteio um IP público de teste de um para o outro, os pacotes saem da eth0 da instância do remetente (como visto por tcpdump com o endereço MAC de destino esperado (então acho que tenho roteamento de host definido) mas nunca chega na instância de destino.Eu testei este 2 maneiras, uma via 172.31.0.1, e também diretamente usando o IP da outra instância como o gateway. iptables em ambos os hosts ( Ubuntu e Amazon Linux testados) estão vazios.O IP público de teste foi adicionado como uma rota na tabela de roteamento mestre VPC usando a instância de recebimento de teste como o gateway.

Meu objetivo é que instâncias que eu inicie nesse VPC que enviam para qualquer IP não-VPC acabem indo para a instância em que eu executo a VPN (ainda indeciso entre IPsec ou OpenVPN). Como posso fazer com que os pacotes passem no EC2 por meio de um VPC padrão ? Eu suspeito que há mais nisso do que eu acho nos documentos da AWS ou via Google (talvez algum outro objeto do EC2 ... eu tenho todos os conceitos certos?).