AWS VPC VPN заблокирован пиринговым соединением AWS VPC

Мы настроили AWS VPC в 2 регионах, как показано выше. Теперь VPN-подключение работает между двумя экземплярами, каждый из которых напрямую подключен к VPC на каждом конце настройки VPN (то есть VPC PROD в eu-west1 и VPC PROD в ap-south1). Таким образом, «Удаленная служба» может взаимодействовать с «Prod-службой». Это показано зеленой пунктирной линией.

Поскольку между 2 VPC eu-west1 есть пиринговое соединение, я надеялся, что VPC PROD в ap-south1 сможет общаться с VPC ADMIN в eu-west1. Похоже, это не так. То есть "Удаленная служба"не могуобщаться с "Административной службой". Показано красной пунктирной линией.

VPC ADMIN имеет записи в таблице маршрутизации:

10.100.0.0/16 ==> peering connection to VPC PROD (eu-west1)

VPC PROD (eu-west1) имеет записи таблицы маршрутизации:

10.100.0.0/16 ==> Virtual Private Gateway (VPG) / VPN connection

Кроме того, VPC PROD (ap-south1) имеет записи таблицы маршрутизации:

172.20.0.0/16 and 172.30.0.0/16 ==> strongswan instance.

Я предполагаю, что проблема может быть в том, что трафик от ap-south1 поступает в маршрутизатор VPG eu-west1 и имеет жесткое требование, чтобы он мог достичь своей конечной точки в связанном с VPG VPC, и он не будет смотреть на таблицу маршрутизации VPC и, таким образом, не будет поддерживать использование соответствующей записи в таблице маршрутизации для отправки трафика на пиринговое соединение к VPC ADMIN. Может ли кто-нибудь подтвердить, должно ли это работать?

На данный момент единственный способ запустить это, похоже, создать второе VPN-подключение, которое будет иметь VPG, связанный с VPC ADMIN. Затем настройте маршрутизацию в ap-south1, чтобы она попала в старый VPN для 172.20.0.0/16 (VPC PROD)и новый VPN для 172.30.0.0/16 (VPC ADMIN). Это должно сработать, но будет стоить в два раза дороже и потребует больше настроек для поддержки...

Есть ли еще идеи, как это реализовать?