Sous Windows, le paramétrage d’origine de L2TP/IPsec ne permet pas de fonctionner derrière un NAT ou PNAT.
Il faut modifier la base de registre pour pouvoir traver les NAT, que ce soit devant le serveur, devant les clients, ou les deux. La manipulation est à faire sur chaque client et serveur L2TP/IPsec Windows :
clef = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
valeur = AssumeUDPEncapsulationContextOnSendRuleDWORD 32 –> 2 (la valeur par défaut est 0)
Redémarrer la machine pour la prise en compte (en principe il suffit de redémarrer le service correspondant, mais cela ne fonctionne pas sur toutes les versions).
L’information officielle est ici : https://support.microsoft.com/en-us/kb/926179