Спасибо за ответ. Железка может VPN , но тут 2 независимых сети. для Lan 1 только интернет нужен, для Lan2 нужен туннель во внутреннюю подсеть с керио где есть другие сервера и разные сервисы. Так сложиись, что в силу обстоятельств, эти сети стали недавно завязаны тольео одним именно этим каналом и тут поделать ничего нельзя.
Кроме этого, читал гдето тут, что железка плохо поддерживает более 10 vpn туннелей, а нужно больше раза в полтора два. На то и керио.
Пробовал расшарить все порты от 1 до 65000, а так же удалить 1-65000 и настроить как сейчас только 50, 51, 1701 и 4500 как описано в форуме керио. что вроде бы эти порты керио слушает. Результат одинаковый. При прочих и как 1:1 и как Virtual Service/ Сейчас попробую оставить только 1701 порт.