Имеется ЛВС которая общается с Интернетом через Keenetic Viva (прошивка 2.08.C.2.0-4) с использованием NAT, в ЛВС имеется АРМ Windows 10 prof x64 v 1809. АРМ подключается через Интернет к Ipsec шлюзу, в роли сервера выступает StrongWan на линуксе смотрящем в Интернет. Проблем с подключением устройств к IpSec серверу работающих из за Nat не было в принципе (за исключением мастодонтов на которых приходилось включать Nat-T вручную), пока не столкнулся Keenetic Viva. В логах сервера криминала не было кроме сообщений что клиент отваливался по тайм ауту на процессе аутентификации.
В интернете краем глаз видел что раньше Nat-T у Keenetic Viva был "хитро" реализован, проброс 4500 порта шел на 10000, от осточертевших поисков в интернете начал экспериментировать, ну не хотелось просматривать Ip дампы удаленно на АРМ клиента под его наблюдением, настроил принудительный проброс портов 4500 на 4500. В результате АРМ клиента успешно подключился к IpSec шлюзу. Что еще из интересного, раньше клиент из за Keenetic Viva с дефолтными настройками, успешно подключался к IpSec шлюзу, но версия была Windows 7, домашняя кажется.
З.Ы. Вспомнил важную деталь, провайдер местного разлива выдал клиенту IP из серой сети 10.Х.Х.Х.