Encapsulating Security Protocol (ESP) é o protocolo IP 50. Ele possui um número de protocolo, como o ICMP, TCP e UDP, e é sem dúvida o protocolo correto para usar em túneis criptografados.
No entanto, embora o TCP e o UDP tenham endereços IP e números de porta associados à origem e ao destino, o ICMP e o ESP não. É a combinação de portas e endereços que tornam o NAT e o tunelamento práticos; sem eles, o tráfego é muito difícil de lidar.
O problema é que, quando um dispositivo de encapsulamento (ou NAT) tem dois ou mais fluxos UDP de entrada para passar para um único nó de extremidade e as respostas retornam desse nó de extremidade para o dispositivo de encapsulamento, os números de porta de origem podem ser usado para desambiguar os dois fluxos. Com o ESP, não há nenhum número de porta para servir como desambigua- dor, portanto, é difícil para o ponto de extremidade de tunelamento saber a qual das várias fontes de ESP a resposta do ESP deve ser encapsulada.
O IPSec, que por padrão também usa o ESP, codificou algumas vezes as extensões NAT-traversal, que usam o UDP / 4500. Não sei se o L2TP tem esse modo e, sem ele, temo que você não consiga fazer o que deseja fazer.
Espero que eu esteja errado sobre isso, e que outra pessoa apareça e poste uma resposta melhor. Mas, na ausência disso, achei que deveria pelo menos tentar explicar o que é ESP e por que é uma dor de cabeça em túnel.