Туннель IPSec Windows Server 2003 подключен, но не работает (возможно, связано с NAT/RRAS)

Конфигурация

Я настроил «сырой» туннель IPSec между машиной Windows Server 2003 (SBS) и Netgear FVG318 в соответствии с инструкциями Microsoft.КБ816514. Конфигурация выглядит следующим образом (используются те же условные обозначения, что и в статье):

NetA         | SBS2003   | FVG318   | NetB
10.0.0.0/24  | 216.x.x.x | 69.y.y.y | 10.0.254.0/24

Оба режима Main Mode и Quick Mode Security Associations успешно завершены и отображаются в IP Security Monitor. Я также могу пинговать сервер SBS2003 по его частному адресу с любого компьютера в NetB.

Проблема

Любой трафик, отправленный с компьютера на NetA на NetB или с SBS2003 на NetB (за исключением ICMP Pingответы), отправляется на публичный сетевой интерфейс за пределами туннеля IPSec (без шифрования или аутентификации заголовков, как если бы туннеля не было).

Пинги, отправленные с компьютера в NetB на компьютер в NetA, успешно достигают компьютеров в NetA, но ответы молча отбрасываются SBS2003 (они не передаются в открытом виде и не генерируют никакого зашифрованного трафика).

Возможные решения

Неправильная конфигурация

Я мог где-то что-то неправильно напечатать, или KB816514 может быть неверным в каком-то смысле. Я очень старался исключить первый вариант. Несколько раз пересоздавал конфигурацию, пытался настроить и отрегулировать все настройки, которые мог, но безуспешно (большинство из них не позволяют установить SA).

НАТ/РРАС

Я видел множество сообщений в других местах, предполагающих, что это может быть связано с взаимодействием между NAT и фильтрами IPSec. Возможно, частные адреса NetA перезаписываются в 216.xxx перед сравнением с фильтрами Quick Mode IPSec и не туннелируются из-за несоответствия. Фактически, статья The Cable Guy от июня 2005 года "Пути обработки пакетов TCP/IP" предполагает, что это так (см. шаги 2 и 4 пути транзитного трафика). Если это так, есть ли способ исключить трафик NetA->NetB из NAT?

Любые мысли, идеи, предложения и/или комментарии приветствуются.

Обновление (2011-06-26)

Не решив проблему, я обратился в платную поддержку Microsoft. Они не смогли решить проблему. С тех пор я реализовал решение на базе Linux, которое работает довольно хорошо. Я постараюсь оценить все предложенные ответы как можно лучше, но текущие конфигурации и ограничения по времени замедлят это...