Я пытаюсь реализовать такую схему https://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/images/branch-offices-diagram.png AWS (Customer Gateway +

Virtual Private Gateway + VPN Connections,) + DigitalOcean (StrongSwang server 5.5.2), тоннель поднялся все ок.
Пинг AWS -> DO работает
Пинг DO -> AWS не работает (при этом tcpdum видит эхо запрос/ответ на стороне EC2) что странно ip источника это внтуренний адрес тоннеля вида:
10:38:14.427084 IP (tos 0x0, ttl 64, id 48119, offset 0, flags [DF], proto ICMP (1), length 84)
169.254.41.210 > 10.135.29.229: ICMP echo request, id 2320, seq 1, length 64
10:38:14.427131 IP (tos 0x0, ttl 64, id 57949, offset 0, flags [none], proto ICMP (1), length 84)
10.135.29.229 > 169.254.41.210: ICMP echo reply, id 2320, seq 1, length 64
10:38:16.766365 IP (tos 0xc0, ttl 64, id 33252, offset 0, flags [none], proto ICMP (1), length 70)
10.135.29.229 > no-mans-land.m247.com: ICMP 10.135.29.229 udp port https unreachable, length 50

Вопрос нормално ли это? Нет таких роутов которые бы позволили отправить пакет по этому адресу, ну и собственно как отдебажить и починить? Буду рад любой помощи и направлениям куда посмотреть.
Security groups и ACL стоят в OPEN.

а чё с правила ответа на ping в aws?

А на своне сделал? Disable the SrcDestCheck attribute for the NAT instance (see Disabling Source/Destination Checks)