Estou experimentando com a VPN cliente AWS. Está claramente mencionado na documentação que,
Não podemos associar mais de uma sub-rede na mesma AZ a um endpoint de cliente VPN.
Nossas sub-redes são assim:
Você está interpretando mal para que a sub-rede é usada. A sub-rede associada com a VPN é aquela na qual os clientes conectados receberão um endereço IP. A partir daí, eles podem alcançar qualquer coisa na VPC que suas regras de firewall permitirem.
Esta é uma tarefa para emparelhamento de VPC + endpoints de VPN. Siga o artigo KB abaixo. Basicamente, você criará emparelhamento de VPC entre cada uma das sub-redes e usará um único endpoint. Depois, use regras de autorização para conceder acesso às VPCs emparelhadas. Você também pode precisar isolar diferentes usuários de cada sub-rede para que não tenham acesso às conexões emparelhadas (embora eu esteja um pouco incerto sobre essa parte). Access resources in a peered VPC over Client VPN | AWS re:Post.
