无法通过AWS IPSec VPN进行ping或traceroute

我的VPC通过IPSec VPN连接到我的场所，隧道在AWS控制台上显示为UP。

事情的工作：

• 我可以在VPCstream量日志上看到从我的场所（子网192.168.0.0/16）到AWS VPC（10.0.0.0/16）的stream量，标记为接受。

• 当我使用sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo做terminal上的ICMPstream量的tcp转储时，我看到ping：

  • EC2无法连接到VPC上的RDS。 子网问题？
  • 在AWS上使用NAT和私有子网与在locking安全组和ACL的公共子网上有什么优势？
  • 我们可以将OSX计算机连接到AWS VPC VPN吗？
  • 我应该在哪里设置Amazon VPC中的登台环境？ 和testing？
  • 适用于单个VPC子网的Amazon AWS IAM策略

06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 。

• 当我使用其公有IP访问AWS实例时，我可以从任何地方获得Ping回复。
• 当我使用来自同一VPC中的另一个AWS实例的私有IP对AWS实例进行ping时，我可以获得ping答复。

事情不起作用：

• 从我的办公室到任何AWS实例（包括接收我的icmp ping的实例）ping时，无法获得ping回复。
• 从我的AWS实例ping我的房屋时，我无法获得ping回复。
• 我无法从我的AWS实例到192.168.234.254或任何其他私有IP在我的房屋做traceroute。 这些traceroute结束超时，一路星号。
• 我无法从我的场所到任何AWS实例执行跟踪路由。 这些traceroute结束超时，一路星号。

configuration：

子网的路由表：

 Destination target status propagated 10.0.0.0/16 local Active No 0.0.0.0/16 igw-f06e2d95 Active No 192.168.0.0/16 vgw-d1084e83 Active No 

AWS实例安全组：入站：

 Type Protocol Port Range Source All ICMP All N/A 0.0.0.0/0 

出站：

 Type Protocol Port Range Source All Traffic All N/A 0.0.0.0/0 All Traffic All N/A 192.168.0.0/16 

networkingACL入站：

 Rule# Type Protocol Port Range Source Allow/Deny 100 All Traffic ALL ALL 0.0.0.0/0 ALLOW 200 All Traffic ALL ALL 192.168.0.0/16 ALLOW * All Traffic ALL ALL 0.0.0.0/0 DENY 

networkingACL出站

 Rule# Type Protocol Port Range Source Allow/Deny 100 All Traffic ALL ALL 0.0.0.0/0 ALLOW 200 All Traffic ALL ALL 192.168.0.0/16 ALLOW \* All Traffic ALL ALL 0.0.0.0/0 DENY 

从我的AWS实例到本地IP上的跟踪path显示：

 tracepath ip-192-168-234-254.ap-southeast-1.compute.internal 1?: \[LOCALHOST\] pmtu 9001 1: ip-10-0-2-1.ap-southeast-1.compute.internal 0.082ms pmtu 1500 1: no reply 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 

其他信息：我的AWS实例正在运行Ubuntu 14.04

简而言之：即使安全组和networkingACL设置正确，即使我可以从内部获得ping回复，但我的场所的stream量也会到达我的VPC实例，但无法在两个方向上都收到ping回复或跟踪路由我的VPC。