В связи с законом о защите персональных данных, вышестоящая организация решила заменить доступ к своему web-серверу через инет(с аутентификацией по нашему IP-адресу, логину, паролю), на доступ через VPN канал. Для чего прислали ПО VPN клиент Застава, который соединясь с сервером должен давать доступ к внутренней локальной сетке и возможность подключаться на внутренний ip web 172.16.... Трафик идет по 443 порту.

Опыт использования Eserva в режиме проброса IP адресов и портов для доступа на несколько серверов есть. прекрасно работает.
В Eserv прописал проброс на IP адрес сервера Заставы по UDP портам 500 и 4500. Соответсвенно в настройках Заставы подменил адрес сервера и портов.
Судя по журналу Заставы мой клиент с сервером ЦУП соединяется.

тест ike-scan через проброс 9209 192.168.10.3 дает положительный результат:

Вот только доступ к внутренней локальной сети 172.16... не создается.

telnet 172.16.2.18 443

Подключение к 172.16.2.18...Не удалось открыть подключение к этому узлу, на порт
443: Сбой подключения

Наугад прописал в настройках
    ExternIP: мой внешний IP адрес
    BindRoute: 172.16.2.0 255.255.255.0 192.168.10.3 не помогло.

Из вышестоящей организации на мой вопрос ответили, — мол мы в такой конфигурации (через прокси) Заставу не тестировали, получится — поделись опытом. (умельцы блин, до этого делился опытом, как я ее запускал на виртуальной машине)

Задал вопрос разработчикам Заставы, пока тишина.

Может кто наведет на мысль, в каком направлении копать?