Astaro v8.300 and Amazon VPC

I was able to get ASG v8.300 to work through NAT and with VPC.  I used coewar's "hack" of the VPC config file and the connections worked for me.  Here are the steps that I took.

1. Create VPC #1 (10.0.0.0/16)
2. Create VPC #2 (172.16.0.0/16)
3. Launch an ASG into VPC #2 using the Astaro instructions (e.g. creating a fairly wide open security group)
4. Give the ASG an EIP and disable src/dst checking
5. Configure VPC #1
5a. Create a Customer Gateway with the ASG EIP
5b. Create a Virtual Gateway and associate it with VPC #1
5c. Create a VPN connection between the ASG Customer Gateway and VPC #1's Virtual Gateway.
5d. Download the VPN configuration using the Astaro template and save it for configuring VPC #2
5e. Update VPC #1 route tables to forward 172.16.0.0/16 traffic to the Virtual Gateway
6. Configure VPC #2
6a. Edit the configuration file downloaded in step 5d and replace the EIP address with the ASG private IP address (172.16.0.x).
6b. Log into the ASG web interface and import the modified configuration file.
6c. Turn on the Amazon VPC connection
6d. Optional -- configure the ASG network security, ICMP settings to enable ICMP to and through the firewall (for ping testing)
6e. Configure VPC #2 route tables to forward 10.0.0.0/16 traffic to the ASG instance.

I was then able to ping between instances on either network.  It seems to me that ASG is able to handle the NAT-T without the need for additional configuration (e.g. leftid).

I was able to get ASG v8.300 to work through NAT and with VPC.  I used coewar's "hack" of the VPC config file and the connections worked for me.  Here are the steps that I took.

1. Create VPC #1 (10.0.0.0/16)
2. Create VPC #2 (172.16.0.0/16)
3. Launch an ASG into VPC #2 using the Astaro instructions (e.g. creating a fairly wide open security group)
4. Give the ASG an EIP and disable src/dst checking
5. Configure VPC #1
5a. Create a Customer Gateway with the ASG EIP
5b. Create a Virtual Gateway and associate it with VPC #1
5c. Create a VPN connection between the ASG Customer Gateway and VPC #1's Virtual Gateway.
5d. Download the VPN configuration using the Astaro template and save it for configuring VPC #2
5e. Update VPC #1 route tables to forward 172.16.0.0/16 traffic to the Virtual Gateway
6. Configure VPC #2
6a. Edit the configuration file downloaded in step 5d and replace the EIP address with the ASG private IP address (172.16.0.x).
6b. Log into the ASG web interface and import the modified configuration file.
6c. Turn on the Amazon VPC connection
6d. Optional -- configure the ASG network security, ICMP settings to enable ICMP to and through the firewall (for ping testing)
6e. Configure VPC #2 route tables to forward 10.0.0.0/16 traffic to the ASG instance.

I was then able to ping between instances on either network.  It seems to me that ASG is able to handle the NAT-T without the need for additional configuration (e.g. leftid).

Very cool. Bingo. If Astaro imported the configuration regardless of what IP's were in there, you wouldn't have to do the hack. And nothing to do with an Amazon limitation. NAT or not NAT, the routers ought to work without a problem.

I was then able to ping between instances on either network.  It seems to me that ASG is able to handle the NAT-T without the need for additional configuration (e.g. leftid).

The leftid is to have the Astaro advertise the EIP you gave it in the VPN. On the receiving end some routers will figure that out correctly (not Astaro though).

So from your scenario if you just have 1 Astaro, and the actual VPC on the other end, the VPC might be doing its NAT-T and finding the Astaro, or Astaro is the one initiating the connection and VPC is using NAT-T to accept the fact that the Astaro's Private IP that it's advertising is different from the EIP. This is probably what's being allowed when you disable that SourceIP checking thing which I wasn't familiar with in VPC. That functionality also seems to be missing in Astaro.

But if you were to put a 2nd Astaro in your other VPC and bypass using Amazon's VPC VPN connectivity and just use Astaro to Astaro IPSec VPN, you would either have to hack the leftid or set the VPNID configuration in the Remote Gateways. Because both Astaro's will not advertise the EIP you give them. Instead they will only advertise the Private IP's they have. If you do not use the leftid you have to enter the "other Astaro's" private IP into the VPNID field; Astaro's NAT-T option does not seem to accept this on the receiving end without that. Why should you have to know the private IP of another router behind a NAT? This is what some routers will figure out automatically.

I followed the directions and changed the file to have the internal IP, but the handshake is stuck at Initiating Main Mode. Any Ideas?

1. Create VPC #1 (10.0.0.0/16)
2. Create VPC #2 (172.16.0.0/16)
3. Launch an ASG into VPC #2 using the Astaro instructions (e.g. creating a fairly wide open security group)
4. Give the ASG an EIP and disable src/dst checking
5. Configure VPC #1
5a. Create a Customer Gateway with the ASG EIP
5b. Create a Virtual Gateway and associate it with VPC #1
5c. Create a VPN connection between the ASG Customer Gateway and VPC #1's Virtual Gateway.
5d. Download the VPN configuration using the Astaro template and save it for configuring VPC #2
5e. Update VPC #1 route tables to forward 172.16.0.0/16 traffic to the Virtual Gateway
6. Configure VPC #2
6a. Edit the configuration file downloaded in step 5d and replace the EIP address with the ASG private IP address (172.16.0.x).
6b. Log into the ASG web interface and import the modified configuration file.
6c. Turn on the Amazon VPC connection
6d. Optional -- configure the ASG network security, ICMP settings to enable ICMP to and through the firewall (for ping testing)
6e. Configure VPC #2 route tables to forward 10.0.0.0/16 traffic to the ASG instance.

This works across aws regions but not within a region