com vpc padrão, o amazon dhcp fornece às instâncias um ip privado, que não pode ser roteado para fora do gateway de internet aws (esse dispositivo se parece com o IGW-xxxxxxx via console). Portanto, a menos que as instâncias aws sejam encaminhadas para a Internet através do gateway de túnel ipsec (parecido com o VGW-xxxxxx), há duas maneiras de permitir a conectividade com a Internet.
1) forneça instâncias de vpc public ip elásticas, assegure uma rota padrão para o gateway de internet amazon e adicione uma rota para sua lan privada ao gateway de terminação ipsec
2) configure uma segunda instância com o masquerading do iptables e, em seguida, tenha a rota padrão para esse dispositivo, enquanto mantém a rota de lan privada para o ponto de terminação ipsec (de volta ao seu offic)
com # 1, se as instâncias tiverem eip público, então poderá ser conectado pela internet, se você não for cuidadoso com grupos de segurança.
com # 2, todo o tráfego é limitado pela instância masquarading, que é um ponto de falha. (usando o gateway de internet amazons, tenho certeza que eles usam VRRP / HSRP / CARP / ETC, portanto, seu HA). também, embora isso não tenha acontecido comigo pessoalmente, o ip privado da caixa de mascaramento poderia mudar, e assim você precisaria atualizar as informações de concessão do dhcp, e então forçar / esperar para renovar as concessões de instâncias .