这取决于所使用的 VPN 技术的类型以及 IPSec 是否用于身份验证和加密，以及您对 IPSec 使用的加密类型和数据完整性。我知道 AH 可以绕过 NAT，而 ESP 不能。

但是，当您说调制解调器通过 VPN 桥接到路由器时，您指的是具有“调制解调器”/WAN 接口和 LAN（或 LAN 和 WLAN 接口）的单个设备吗？还是两个独立的设备？

无论哪种方式，我都假设您的调制解调器只为您提供一个或满是 IP 的手，对吗？很可能“网桥”本身就是一个 NAT 接口。除非调制解调器指的是位于 AS 或 IS-IS 路由器边缘的 BGP 路由器，并且您拥有完整的 IP 块。

如果您对外部地址（例如 google.com，而不是您的外部 IP）执行跟踪路由，输出是什么样的？

您是否在调制解调器和带有 VPN 的路由器之间配置了路由表或在它们之间设置了高级路由协议？可能不会，而且在将公共 IP 广播到您的 ISP 之前在内部路由公共 IP 是非常罕见的。

所以这意味着你有一个三重 NAT。再次回到用于封装、身份验证和加密的技术，但让我们假设您只是寻求封装，数据完整性和加密不是因素。我们还假设您使用非常基本的身份验证和封装，并公开原始以太网标头。

-FOR A GROUP VPN 然后数据包将从连接的客户端流到公共 IP，到达调制解调器后，假设传入端口正确或自动转发，它将到达第一个路由器上的 openVPN 服务器实例，它将是给定第一个 NATed 网络上的 IP。从那里，封装将被剥离，它将被下一个 NAT 转换为另一个地址，然后在到达客户端之前再次转换。可能它永远不会走那么远，因为在封装被剥离和随后的 2 个 NAT 进行转换之间，当它到达客户端时，它似乎是来自上游 NAT 网络的标准数据包。所以客户端会发回回复，但没有得到任何回应。那是因为通过所有这些 NAT，

它可能适用于单个客户端，没有其他互联网流量，但您可能会丢掉很多数据包。

-对于点对点隧道您在这里会更幸运，但仍然存在相同的问题。除非在运营商级 NAT 中使用，否则双重或三重 NATing 从来都不是一个好的做法。

如果您需要隔离子网并通过 VLAN 或使用像 Sonicwall 这样的网络设备来处理安全性和 VPN，那么最好使用托管交换机。

如果您必须使用此配置，我会在您希望通过 VPN 访问的客户端上看到隧道端点，而不是第一个 NATed 网络路由器/网关。我还建议使用 SSLVPN 而不是其他任何东西，因为消费级和低端企业 NAT 设备通常可以更好地跟踪 HTTP/HTTPS 流量，并且不需要玩弄与 NAT 一起使用的不安全协议。