Asi je to klasický problém, kdy na NATu dělají jen DNAT, ale ne SNAT – tím pádem paket od klienta dorazí na NAT, přepíše se cílová adresa, paket přijde k vám, ale má pořád původní zdrojovou adresu klienta. Váš server odpoví na tuto adresu, takže paket se vrací přímo ke klientovi (nejde přes NAT), klient tedy dostane paket se svou cílovou adresou, ale ve zdrojové IP adrese je vaše privátní adresa, na kterou on ovšem nic neposílal – tudíž paket zahodí.
Správné řešení je, aby si to ISP opravil. Pokud je to pro něj problém (což bych chápal, překonfigurovat NAT pro celou síť nemusí být jednoduché, hlavně na ověření, že tím něco nerozbijí), měli by jiné neplacené řešení navrhnout oni – chyba je na jejich straně. Mimochodem, pokud je problém v tom chybějícím SNATu, záleží na přesné konfiguraci NATu, zda by veřejná IP adresa pomohla – zda dělají SNAT n atu veřejnou IP adresu a zda ho dělají „včas“, aby se uplatnil i tehdy, když paket bude mířit zpět do jejich sítě.
Vy to můžete vyřešit tak, že se klienti vašeho ISP budou připojovat přímo na vaši privátní IP adresu, tím pádem úplně obejdete NAT vašeho ISP.