Wenn Du einen Router auf der Server Seite hast, dann muss der DNAT machen. Bei einer IPSEC Verbindung wo der header der Packete nicht verschlüsselt ist reicht es , so wie grizly999 schon geschrieben, das ESP Protokoll auf dem Router zu aktivieren. Ansonsten auch noch das AH Protokoll (51). Zudem braucht Deine Ipsec Verbindung auch noch den UDP500 port. Ist der denn auch weitergegeben worden ??
mirki