Маршрутизация устройства промежуточного блока AWS не работает

Я установил и настроил экземпляр EC2 с routerOS, который хочу использовать в качестве основной точки подключения для сетей филиалов. Имеет 1 интерфейс, находится в подсети 172.20.1.0/24. Подсеть 172.21.1.0/24 создана в том же VPC и имеет следующие таблицы маршрутов:172.20.1.0/24 — локальная 172.21.1.0/24 — локальная 0.0.0.0/0 — eni-xxxxxxxxx (интерфейс routerOS в 172.20.1.0/24) )

Экземпляр routerOS имеет эластичный IP-адрес и работает как маршрутизатор. Туннель к ветке настроен и работает хорошо. Любой экземпляр AWS в любой подсети, доступный с любой конечной точки в сети филиала, но не наоборот. Не могу ничего связаться в филиале из AWS VPC. Единственный экземпляр, достигающий ветки, — это сама RouterOS. Группы безопасности для обеих сетей, разрешающие весь трафик из 172.20.0.0/16, 172.21.0.0/16 и 192.168.0.0/16 (филиальные подсети).

Что я делаю не так в этой настройке?