<div dir="ltr"><div>Hi,</div><div><br></div><div>I have an ubuntu ec2 instance on AWS and I have other instances in the same vpc and same subnet. This instance has single network interface (10.0.1.100)</div><div>source check disabled and forwarding active<br></div><div><div class="gmail-crayon-pre" style="font-size:16px;line-height:16px"><div class="gmail-crayon-line" id="gmail-crayon-5ea6f0a3eedcf682709820-1">net.ipv4.ip_forward=1</div><div class="gmail-crayon-line"><br></div></div></div><div>I configured site-to-site vpn on this ubuntu server to a remote Juniper box.</div><div>But at Juniper side, their rightsubnet is just a public IP, not internal subnet<br></div><div>I see that tunnel connects</div><div><br></div><div>leftsubnet=<a href="http://10.0.0.0/24">10.0.0.0/24</a><br>rightsubnet=193.x.y.z/32</div><div><br></div><div>I have another  Centos instance which has a single network interface (10.0.1.200 ) and public interface enabled in the same VPC</div><div>I added a manual route on this centos instance<br></div><div><br></div><div># route add 93.x.y.z/32 gw 10.0.1.100 </div><div><br></div><div>When I try to traceroute from 10.0.1.200 to 193.x.y.z</div><div>traffic goes to the internet. <br></div><div><br></div><div>Should I create two interfaces on Ubuntu which strongswan installed and site-to-site vpn configured to avoid direct routing from VPC internet gateway?</div><div>This is the routing created by ipsec tunnel</div><div><br></div><div># ip route show table  all<br><b>193.201.x.y via 10.0.0.1 dev eth0 table 220 proto static src 10.0.0.100 </b></div><div>default via 10.0.0.1 dev eth0 proto dhcp src 10.0.0.100 metric 100 <br></div><div><br></div><div># ipsec statusall</div><div><br></div><div>Security Associations (1 up, 0 connecting):<br>       tosrx[1]: ESTABLISHED 35 minutes ago, 10.0.0.100[18.X.X.X]... Y.Y.Y..Y[Y.Y.Y.Y]<br>       tosrx[1]: IKEv2 SPIs: 552fc130bbd_i* 3c9b77da964_r, pre-shared key reauthentication in 7 hours<br>       tosrx[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>       tosrx{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: cca011de_i deb94bf2_o<br>       tosrx{1}:  AES_CBC_256/HMAC_SHA1_96, 360 bytes_i (6 pkts, 1238s ago), 2859 bytes_o (50 pkts, 509s ago), rekeying in 6 minutes<br>       tosrx{1}:   <a href="http://10.0.0.0/24">10.0.0.0/24</a> === 193.X.Y.Z/32</div></div>