Astaro v8.300 and Amazon VPC

I disagree. I don't know about Amazon's "hardware" requirement, but of all the IPSec site-to-site connection's I've done, you can do it with any router capable in any part of a network. We have several business partners and some of them have their routers behind a NAT. (I have a whole thread on this topic here.) Also I have created my own Amazon linux routers and hooked them up together as well as to the Cisco and Astaro routers plus multiple Amazon Astaro routers, and all over the place for testing.

As it turns out, in Linux (using the myid and leftid settings) you can set whatever IP you want as the advertised IP. On the other side, whatever router just uses the Public IP as the right setting. Because you ought to be able to put your router wherever you need to behind a NAT. This is for OpenSWAN and StrongSWAN at least.

Astaro believe it or not, CAN work this way and I've proven it. I went into the ipsec.conf file (the defaults file actually) and forced it to have those settings and from the Amazon cloud it advertised using the Public IP I specified. Then I had to also change how the ipsec.secret file is written and use the IP I want rather than the private IP of the device. However the Web GUI in Astaro does not let you set these settings. So I added a feature request for it, and turns out, there are others too asking for it.

Now, a separate thing that Astaro is not doing that causes more confusion, is that when the other side's router is behind a NAT and it is working as "normal" and advertising its own private IP instead of the public IP, Astaro is not able to connect unless you specify that remote router's private IP in the VPNID section of Astaro's Remote Gateway configuration.

If I'm working with a Cisco router, and the remote is the same one behind a NAT, somehow Cisco automatically knows and uses instead of "IPsec" protocol, it uses one that it calls "IPSecOverNatT"

You'd think that enabling NAT-T would fix this but it does nothing it seems for this.

I disagree. I don't know about Amazon's "hardware" requirement, but of all the IPSec site-to-site connection's I've done, you can do it with any router capable in any part of a network. We have several business partners and some of them have their routers behind a NAT. (I have a whole thread on this topic here.) Also I have created my own Amazon linux routers and hooked them up together as well as to the Cisco and Astaro routers plus multiple Amazon Astaro routers, and all over the place for testing.

As it turns out, in Linux (using the myid and leftid settings) you can set whatever IP you want as the advertised IP. On the other side, whatever router just uses the Public IP as the right setting. Because you ought to be able to put your router wherever you need to behind a NAT. This is for OpenSWAN and StrongSWAN at least.

Astaro believe it or not, CAN work this way and I've proven it. I went into the ipsec.conf file (the defaults file actually) and forced it to have those settings and from the Amazon cloud it advertised using the Public IP I specified. Then I had to also change how the ipsec.secret file is written and use the IP I want rather than the private IP of the device. However the Web GUI in Astaro does not let you set these settings. So I added a feature request for it, and turns out, there are others too asking for it.

Now, a separate thing that Astaro is not doing that causes more confusion, is that when the other side's router is behind a NAT and it is working as "normal" and advertising its own private IP instead of the public IP, Astaro is not able to connect unless you specify that remote router's private IP in the VPNID section of Astaro's Remote Gateway configuration.

If I'm working with a Cisco router, and the remote is the same one behind a NAT, somehow Cisco automatically knows and uses instead of "IPsec" protocol, it uses one that it calls "IPSecOverNatT"

You'd think that enabling NAT-T would fix this but it does nothing it seems for this.