Túnel IPSec do Windows Server 2003 conectado, mas não funciona (possivelmente relacionado a NAT/RRAS)

Configuração

Eu configurei um túnel IPSec "bruto" entre uma máquina Windows Server 2003 (SBS) e um Netgear FVG318 de acordo com as instruções da MicrosoftKB816514. A configuração é a seguinte (usando as mesmas convenções do artigo):

NetA         | SBS2003   | FVG318   | NetB
10.0.0.0/24  | 216.x.x.x | 69.y.y.y | 10.0.254.0/24

As associações de segurança do modo principal e do modo rápido foram concluídas com êxito e aparecem no Monitor de segurança IP. Também consigo executar ping no servidor SBS2003 em seu endereço privado a partir de qualquer computador no NetB.

O problema

Qualquer tráfego enviado de um computador em NetA para NetB ou de SBS2003 para NetB (excluindo ICMP Pingrespostas), é enviado na interface de rede pública fora do túnel IPSec (sem criptografia ou autenticação de cabeçalho, como se o túnel não existisse).

Os pings enviados de um computador na NetB para um computador na NetA alcançam com sucesso os computadores na NetA, mas as respostas são descartadas silenciosamente pelo SBS2003 (elas não saem de forma clara e não geram nenhum tráfego criptografado).

Soluções possíveis

Configuração incorreta

Eu poderia ter digitado algo errado em algum lugar ou o KB816514 pode estar incorreto de alguma forma. Tentei muito eliminar a primeira opção. Recriei a configuração várias vezes, tentei ajustar e ajustar todas as configurações que pude, sem sucesso (a maioria impede o estabelecimento do SA).

NAT/RRAS

Já vi vários posts em outros lugares sugerindo que isso pode ser devido à interação entre o NAT e os filtros IPSec. Possivelmente os endereços privados NetA são reescritos para 216.xxx antes de serem comparados com os filtros IPSec do Modo Rápido e não são encapsulados devido à incompatibilidade. Na verdade, o artigo do The Cable Guy de junho de 2005 "Caminhos de processamento de pacotes TCP/IP" sugere que este é o caso (veja as etapas 2 e 4 do caminho de tráfego de trânsito). Se for esse o caso, existe uma maneira de excluir o tráfego NetA->NetB do NAT?

Quaisquer pensamentos, ideias, sugestões e/ou comentários são apreciados.

Atualização (26/06/2011)

Depois de não conseguir resolver o problema, recorri ao suporte pago da Microsoft. Eles não conseguiram resolver o problema. Desde então implementei uma solução baseada em Linux que está funcionando muito bem. Tentarei avaliar quaisquer respostas propostas da melhor maneira possível, mas as configurações atuais e as restrições de tempo tornarão isso lento...