Routing over VPN between AWS and physical F5 only works one way

Tengo un F5 físico en nuestro colo y una conexión VPN configurada con AWS. La conexión ipsec está activa, BGP funciona y las rutas se propagan correctamente en ambos lados. Desde AWS, puedo hacer ping a los dispositivos detrás del F5. Desde el F5, o desde los dispositivos detrás de él, no puedo hacer ping en AWS. Esto no es un problema de grupo de seguridad: las instancias EC2 están abiertas a todo el mundo para ICMP. Usando tcpdump, puedo ver paquetes que van de AWS al F5: el paquete llega por el túnel VPN y vuelve a salir al servidor, luego la respuesta haciendo el camino inverso. Desde el F5 hacia AWS, veo un paquete entrando en el F5, pero no saliendo de regreso. Tengo un servidor virtual de reenvío configurado para todas las fuentes y destinos, aplicado a todos nuestros VLAN y túneles.

¿Algún experto en F5 por aquí que pueda tener alguna idea?

[SOLUCIONADO] /u/faux_gray sugirió activar automap y auto last hop, ¡eso parece haberlo resuelto!

F5 necesita un oyente para procesar y reenviar solicitudes. ¿Tienes un servidor virtual de reenvío con comodín IP?

Editar: olvida lo que acabo de decir, ha sido un día largo. El reenvío con comodín es solo para enrutar. ¿La puerta de enlace del servidor es el F5? Si no, necesitas SNAT.

F5 también necesita una ruta por defecto en la dirección correcta.

Editar2: ¿Se está construyendo el túnel hacia el F5? ¿La ruta de retorno en el F5 apunta a la otra punta del túnel o a la puerta de enlace de AWS? Tienes que tener una ruta hacia la dirección del par del túnel para que el F5 sepa cómo construir el túnel. También necesitas una ruta para tus datos que apunte de regreso a través del túnel. El servidor virtual de reenvío solo permitirá que el F5 procese el tráfico, no enrutará el tráfico.