Túnel IPSec de Windows Server 2003 conectado, pero no funciona (posiblemente relacionado con NAT/RRAS)

Configuración

He configurado un túnel IPSec "sin formato" entre una máquina con Windows Server 2003 (SBS) y un Netgear FVG318 de acuerdo con las instrucciones de Microsoft.KB816514. La configuración es la siguiente (usando las mismas convenciones que el artículo):

NetA         | SBS2003   | FVG318   | NetB
10.0.0.0/24  | 216.x.x.x | 69.y.y.y | 10.0.254.0/24

Tanto las asociaciones de seguridad del modo principal como del modo rápido se completan con éxito y aparecen en el Monitor de seguridad IP. También puedo hacer ping al servidor SBS2003 en su dirección privada desde cualquier computadora en NetB.

El problema

Cualquier tráfico enviado desde una computadora en NetA a NetB, o desde SBS2003 a NetB (excluyendo ICMP Pingrespuestas), se envía en la interfaz de red pública fuera del túnel IPSec (sin cifrado ni autenticación de encabezado, como si el túnel no estuviera allí).

Los pings enviados desde una computadora en NetB a una computadora en NetA llegan exitosamente a las computadoras en NetA, pero SBS2003 descarta silenciosamente las respuestas (no salen sin cifrar y no generan ningún tráfico cifrado).

Soluciones posibles

Configuración incorrecta

Podría haber escrito mal algo, en alguna parte, o KB816514 podría ser incorrecto de alguna manera. Me he esforzado mucho en eliminar la primera opción. He recreado la configuración varias veces, intenté modificar y ajustar todas las configuraciones que pude sin éxito (la mayoría impide que se establezca la SA).

NAT/RRAS

He visto varias publicaciones en otros lugares que sugieren que esto podría deberse a la interacción entre NAT y los filtros IPSec. Posiblemente las direcciones privadas de NetA se reescriben en 216.xxx antes de compararlas con los filtros IPSec del modo rápido y no se tunelizan debido a la falta de coincidencia. De hecho, el artículo de The Cable Guy de junio de 2005 "Rutas de procesamiento de paquetes TCP/IP" sugiere que este es el caso (consulte los pasos 2 y 4 de la ruta de tráfico de tránsito). Si este es el caso, ¿hay alguna manera de excluir el tráfico NetA->NetB de NAT?

Se agradece cualquier pensamiento, idea, sugerencia y/o comentario.

Actualización (26/06/2011)

Después de no poder resolver el problema, recurrí al soporte pago de Microsoft. No pudieron resolver el problema. Desde entonces he implementado una solución basada en Linux que está funcionando bastante bien. Intentaré evaluar las respuestas propuestas lo mejor que pueda, pero las configuraciones actuales y las limitaciones de tiempo harán que esto sea lento...