TP-Link Archer C80の下にVPNのUDP/500の通信が通らない時はIPSecパススルーをオフにする

プログラミングor技術
Archer C80のLAN内にL2TP/IPSecのVPNサーバを置き外からアクセスしたくなりました。

この場合、ルータでポートフォワーディングを許可しなければいけない通信は、一般家庭でよくあるケースだとUDP/500UDP/4500です。(参考
これらのうちUDP/500はArcher C80にちょっとわかりにくい設定が必要でした。 なおプロトコル番号50のESPや、UDP/1701もルータに設定するものとしてる情報がありますが、これは通常の環境(一般家庭でNAT環境下で使うような)ではルータ等途中の機器に設定する必要はないようです。
ESPについては、IPSecのNATトラバーサルをする場合は直接使わずUDPでカプセル化してUDP/4500で通信しますし、
UDP/1701はL2TPに使うそうですが、これもIPSecでカプセル化された状態でルータ等途中の機器を通るのでルータ等に設定しておく必要はないとのこと。 (by Wikipedia 笑) ちなみに現環境は以下の通り。
ファームウェア バージョン:
1.5.10 Build 210316 Rel.39865n(4A50)
ハードウェア バージョン:
Archer C80 1.0

まず普通にポートフォワーディングの設定

UDP/500とUDP/4500を設定します。
特に明示的にエラーはでませんが、これだけだとUDP/500の通信は通りませんでした。

IPSecパススルーを止める

セキュリティ の ALG って設定から、IPSecパススルーを止めます。デフォルトオンでした。(これはTP-Linkコミュニティの類似質問を参考にしました。)
以上!

なんでIPSecパススルーをオフにする必要があるの?

他のWi-FiルータだとIPSecパススルーをオンにしていても、ポートフォワーディングの設定をすればちゃんとUDP/500への通信をフォワーディングできる機種はありますが、なぜ本機はオフにしなくてはならないのでしょうか?

別なWi-Fiルータ Atermの説明書 などをみると、IPSecパススルーは基本的にNATの中のPCから外側にあるVPNサーバに接続するときに使う機能だと思うので、今回のケース(NATの中にVPNサーバを置いて外からアクセスさせたい)ならば本来関係ない気もするのですが…

また別なサイトには…以下のようにあります。
(きちんとした実装であれば)これらの機能{注: VPNソフトのNAT Traversal 機能と, ルータのVPNパススルー機能}が衝突することはありませんので、両方の方式を同時利用しても構いません。

ルータ SEIL VPNパススルー機能についての解説 , 波括弧は後付け

この辺よくわかってないので何とも言えません。

コメント