Первое, что бросается в глаза - туннель между DFL-210 (за NAT) и DFL-700 (на нормальном публичном адресе) успешно устанавливается и трафик через него ходит, но:
Список туннелей для ключей (IKE SA) у DFL-210 остается пустым, хотя очевидно, что такой туннель существует.
Второе - пара DFL-210 (за NAT) и DFL-700 - работает
пара DFL-210 (за NAT) и DFL-210 снаружи при аналогичных настройках - не работает. При этом в логи не пишется вообще ничего. Как будто никаких попыток соединения устройства не предпринимают.
___
А задача, тем не менее, остается - нужно как-то создавать IPSEC туннели между двумя 210-ми в конфигурации, когда один из них стоит за NAT.
___