Ошибка аутентификации AWS Site-to-Site VPN для клиентского шлюза за устройством NAT

Мы создаем VPN-подключение AWS Site-to-Site между локальной сетью клиента и нашим AWS VPC. Клиент получает ошибку аутентификации при попытке установить соединение (используя предварительно общий ключ).

Чтобы отладить это, мы запустили strongSwan на экземпляре EC2, чтобы иметь возможность проверять журналы и трафик. При этом мы могли видеть, что они пытались подключиться с IP-адреса 1 (например, 1.0.0.1), но использовали IP-адрес 2 (например, 1.0.0.2) в качестве идентификатора. Когда мы настроили strongSwan для аутентификации по IP-адресу 2 (например, 1.0.0.2), соединение было успешно установлено. С тех пор мы узнали, что IP-адрес 1 (например, 1.0.0.1) — это их устройство NAT, а IP-адрес 2 (например, 1.0.0.2) — это клиентское шлюзовое устройство.

На мой вопрос: как настроить VPN-подключение AWS Site-to-Site и клиентский шлюз, чтобы их можно было успешно аутентифицировать? Если я создам клиентский шлюз с IP-адресом 1 (например, 1.0.0.1, устройство NAT), они смогут подключиться, но не смогут аутентифицироваться. Если я создам клиентский шлюз с IP-адресом 2 (например, 1.0.0.2, клиентский шлюз), они вообще не смогут подключиться.