Протокол IPSec не поддерживает PAT (Port Address Translation), потому что при работе туннеля шифрованная нагрузка ESP цепляется сразу к IP-заголовку. 1 В таком пакете нет заголовка транспортного уровня и, следовательно, номера порта. 1 Без номера порта PAT не может правильно функционировать. 1
Для решения проблемы можно использовать обход NAT (NAT-Traversal, NAT-T). 12