Astaro v8.300 and Amazon VPC

And I think I'm close to proving that you CAN create a site-to-site VPN connection between Amazon VPC, and an Astaro device behind a NAT! This one I'm testing with is actually somewhere else in the Amazon cloud.

In VPC I specify the Astaro's public IP Amazon gave it. Then I download the config file for that VPN connection which turns out is a very nice XML file. I edit the file and replace the parts that had the public IP with the Astaro's private IP because for some silly reason, Astaro's import process decides to not import unless the IP's match up. [:)] More work to code that for unnecessary reason.

After importing, under the hood the ipsec.conf file now has a section like this:

# vpn-xyz [1]
conn S_REF_IpsAmaVpnxyz_0
        authby="psk"
        auto="start"
        compress="no"
        dev="vpc0.0"
        ecn="no"
        esp="aes128-sha1"
        ike="aes128-sha1-modp1024"
        ikelifetime="28800"
        keyexchange="ike"
        keylife="3600"
        left="yyyyyy"
        leftsubnet="0.0.0.0/0"
        leftupdown="/bin/sh -c true"
        pfs="yes"
        pfsgroup="modp1024"
        pmtu_discovery="no"
        rekeymargin="540"
        right="***x"
        rightid="***xx"
        rightsubnet="0.0.0.0/0"
        type="tunnel"

guess what..  I think if I just add the leftid  and put my public IP tha tI used with Amazon's VPC, I bet I'll be connected! Let's see what happens..

EDIT:
Well it still is not working with Amazon's VPC with this error:
ERROR: "S_vpn-xyz [1]" #2: sendto on eth0 to ***x:500 failed in main_outI1. Errno 1: Operation not permitted

but I'm not going to take more time into making this work.

Nonetheless, Astaro can be made to work behind a NAT and advertise its internet public IP with the leftid ipsec.conf setting.

And I think I'm close to proving that you CAN create a site-to-site VPN connection between Amazon VPC, and an Astaro device behind a NAT! This one I'm testing with is actually somewhere else in the Amazon cloud.

In VPC I specify the Astaro's public IP Amazon gave it. Then I download the config file for that VPN connection which turns out is a very nice XML file. I edit the file and replace the parts that had the public IP with the Astaro's private IP because for some silly reason, Astaro's import process decides to not import unless the IP's match up. [:)] More work to code that for unnecessary reason.

After importing, under the hood the ipsec.conf file now has a section like this:

# vpn-xyz [1]
conn S_REF_IpsAmaVpnxyz_0
        authby="psk"
        auto="start"
        compress="no"
        dev="vpc0.0"
        ecn="no"
        esp="aes128-sha1"
        ike="aes128-sha1-modp1024"
        ikelifetime="28800"
        keyexchange="ike"
        keylife="3600"
        left="yyyyyy"
        leftsubnet="0.0.0.0/0"
        leftupdown="/bin/sh -c true"
        pfs="yes"
        pfsgroup="modp1024"
        pmtu_discovery="no"
        rekeymargin="540"
        right="***x"
        rightid="***xx"
        rightsubnet="0.0.0.0/0"
        type="tunnel"

guess what..  I think if I just add the leftid  and put my public IP tha tI used with Amazon's VPC, I bet I'll be connected! Let's see what happens..

EDIT:
Well it still is not working with Amazon's VPC with this error:
ERROR: "S_vpn-xyz [1]" #2: sendto on eth0 to ***x:500 failed in main_outI1. Errno 1: Operation not permitted

but I'm not going to take more time into making this work.

Nonetheless, Astaro can be made to work behind a NAT and advertise its internet public IP with the leftid ipsec.conf setting.