El problema viene por una clave de registro que viene desactivada por defecto en Windows. Hay que cambiarla:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Y creamos un nuevo “Valor de DWORD (32 bits)” llamado: AssumeUDPEncapsulationContextOnSendRule
Y le damos el valor 2.
Otra clave que habría que cambiar:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
Y pulsaremos con el botón derecho sobre la clave “IPsecThroughNAT”, y cambiaremos el calor también a 2.
Esta segunda clave se puede cambiar también desde línea de comandos (para los valores 0, 1 y 2 respectivamente):
netsh advfirewall set global ipsec ipsecthroughnat nerver netsh advfirewall set global ipsec ipsecthroughnat serverbehindnat netsh advfirewall set global ipsec ipsecthroughnat serverandclientbehindnat
Explicación de los valores posibles DE AMBAS CLAVES:
0 – Indica a Windows que NO puede establecer asociaciones de seguridad con servidores ubicados tras un dispositivo que haga NAT.
1 – Indica a Windows que PUEDE establecer asociaciones de seguridad con servidores ubicados tras un dispositivo que haga NAT.
2 – Indica a Windows que PUEDE establecer asociaciones de seguridad CUANDO TANTO EL SERVIDOR COMO EL ORDENADOR CLIENTE estén ubicados tras un dispositivo que haga NAT.