Damit man VPN hinter einem NAT betreiben kann braucht es einen Eintrag in der Registry.
Im Verzeichnis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
braucht es einen DWORD (32-bit) Eintrag mit folgendem Namen:
AssumeUDPEncapsulationContextOnSendRule
und dem Wert 2