Задача:

клиент->(неизвестная железка умеющая IPSec) ->IPSec по инету-> Windows 2003 Server c NAT-T -> (неизвестная железка умеющая IPSec)->клиент
тоесть надо что-то что может построить тунель находясь за NAT MS уверяет что сервера IPSec умеющие NAT-T теперь могут быть опубликованы, вопрос что надо поставить на место неизвестной железки ?

А сколько у вас клиентов?

Клиентов на одной стороне (без NAT) 8 на другой за (NAT) около 50, но я планировал в выход устройства подключить хаб и туда уже поключить клиентов что бы сэкономить

У всех устройств DFL есть свой NAT (отключаемый). На одно стороне можно поставить DFL-200 (где 8 клиентов), на другой лучше DFL-700

Я вот просто читаю про NAT 2003 и там пишут:
"Вы не сможете опубликовать VPN серверы, используя протокол IPSec в туннельном режиме, если ваш VPN сервер не поддерживает NAT-T (сервер VPN может использовать IETF NAT-T так же, как сервер VPN в Windows 2003 Server или вы можете опубликовать собственные VPN серверы поддерживающие NAT-T)."
не хотелось бы залететь то что вы порекомендовали подойдет под эти условия ?

Эти устройства умеют делать проброс через NAT. Но без дополнительной конфигурации сервера, осуществляюего NAT, хотя бы без одного "белого" адреса не обойтись.

_________________
С уважением -- Александр Шебаронин.

Белый адрес стоит на сетевой карте сервера, он один и больше нет, на порт WAN роутера будет назначаться серый адрес на сервере планируется опубликовать IPSec на серый адрес порта WAN тоесть получится что пробрасывать надо уже через NAT windows 2003, а там говорят NAT-T иначе целостность пакетов рушится и IPSec не живет.
В данном случае будет все работать или нет ?
Если бы была возможность выкинуть роутер за NAT то понятно что все бы работало, но этого нельзя сделать.

Через NAT работает. http://www.dlink.ru/technical/faq_vpn_16.php

_________________
С уважением -- Александр Шебаронин.

В указанном примере у вас два маршрутизатора смотрят друг на друга, и сами дают NAT у меня же маршрутизатор будет уже за NAT 2003, насколькоя уже успел найти в инете то NAT-T использует UDP 4500 IPSec получается надо что ли поверх UDP, винда порт этот как раз и хочет тоже мапить.

тоесть насколько я понял (если ошибся поправьте) то эти железяки должны уметь запихивать все это дело в UDP 4500 вот тогда все будет работать. ...