Issues with IPSec site-to-site to ASG behind/ in front of NAT

After further testing, I have come to these 2 differences in Astaro regarding site-to-site IPSec VPN's with PSK.

#1 - It does not automatically "traverse" the NAT even when NAT-T is enabled for a remote router that's behind a NAT. I don't know if I used the correct terminology there, but when comparing to Cisco, it did not automatically accept the connection from a remote router that was NAT'ed. Cisco automatically did, and it decided to use some protocol that it calls "IPsecOverNATt".  It seems like we should be able to accomplish this so that we don't need to pre-configure a NAT'ed router's private IP. Just by definition, the other end should be allowed to put their NAT'ed router anywhere with any IP.

#2 - Astaro advertises its own private IP rather than the public IP when behind a NAT. In contrast, my home grown Amazon Linux using OpenSWAN does advertise it's public IP in the VPN. This is apparent because when testing Amazon Linux and Amazon Astaro in a VPN, the Amazon Linux had to have its rightid parameter configured for Astaro's private IP, but the Astaro's VPNID for the Amazon Linux gateway did not have to get set. While, when configuring the 2 Amazon Astaro's together, both of them had to have the VPNID set for each other's private IP. I can have the Amazon Linux advertise whatever I want as the IP using the leftid setting in ipsec.conf.

The combination of those 2 items made it so that this was not working. Since certainly #2 is being done by a very plain Amazon Linux with OpenSWAN, it would seem trivial to make that work in Astaro. (just allow us to specify the leftid for the whole router or per VPN connection). But option #1 ought also to work in Astaro as clearly routers in the market can do it and obviously this VPN protocol technology is far from "dead" to push people to change. Once again, it is not our choice at all, all of our partners independently came up with those same requirements.

After further testing, I have come to these 2 differences in Astaro regarding site-to-site IPSec VPN's with PSK.

#1 - It does not automatically "traverse" the NAT even when NAT-T is enabled for a remote router that's behind a NAT. I don't know if I used the correct terminology there, but when comparing to Cisco, it did not automatically accept the connection from a remote router that was NAT'ed. Cisco automatically did, and it decided to use some protocol that it calls "IPsecOverNATt".  It seems like we should be able to accomplish this so that we don't need to pre-configure a NAT'ed router's private IP. Just by definition, the other end should be allowed to put their NAT'ed router anywhere with any IP.

#2 - Astaro advertises its own private IP rather than the public IP when behind a NAT. In contrast, my home grown Amazon Linux using OpenSWAN does advertise it's public IP in the VPN. This is apparent because when testing Amazon Linux and Amazon Astaro in a VPN, the Amazon Linux had to have its rightid parameter configured for Astaro's private IP, but the Astaro's VPNID for the Amazon Linux gateway did not have to get set. While, when configuring the 2 Amazon Astaro's together, both of them had to have the VPNID set for each other's private IP. I can have the Amazon Linux advertise whatever I want as the IP using the leftid setting in ipsec.conf.

The combination of those 2 items made it so that this was not working. Since certainly #2 is being done by a very plain Amazon Linux with OpenSWAN, it would seem trivial to make that work in Astaro. (just allow us to specify the leftid for the whole router or per VPN connection). But option #1 ought also to work in Astaro as clearly routers in the market can do it and obviously this VPN protocol technology is far from "dead" to push people to change. Once again, it is not our choice at all, all of our partners independently came up with those same requirements.