Проблема в самой связке Cisco Router/NAT/IPSEC. Вот я устанавливаю IPSEC тунель от пользовательского компа к наружному VPN-хабу и вижу следующие трансляции на роутере:
udp 83.221.221.93:500 10.1.41.48:500 5.59.135.245:500 5.59.135.245:500
udp 83.221.221.93:500 10.1.41.48:500 5.59.135.245:500 5.59.135.245:500
udp 83.221.221.93:4500 10.1.41.48:4500 5.59.135.245:4500 5.59.135.245:4500
83.221.222.93 - IP моего роутера с nat на стыке
10.1.41.48 - мой юзерский комп
5.59.136.245 - удаленный хаб
Как видно, Cisco даже после ната производит проброс так же с портов 500 и 4500
и на этом роутере нет проброса IPSEC. Но для этих соединений есть динамические правила. Беда в том, что ответы от 5.59.135.245 так же приходят по портам 500 и 4500, и, если мне надо пробрасывать пробрасывать трафик до IPSEC-хаба, то статические правила не дадут отработать динамическим правилам, так как статика безоговорочно закинет из хабу...