[I] Dec 12 09:05:29 ipsec: 10[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
[I] Dec 12 09:05:29 ipsec: 10[IKE] inbound CHILD_SA VirtualIPServerIKE2{129} established with SPIs c77a5cd1_i ceba567a_o and TS 0.0.0.0/0 === 192.168.20.7/32
[W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "timerman" @ "192.168.12.98" from "94.73.250.34" disconnected.
[W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "timerman" @ "192.168.12.98" with IP "192.168.20.7" connected.
И что тут не понятно???
Клиент ходил с одного IP "94.73.250.34", и вдруг решил заглянуть с "192.168.20.7".
Естественно все переинициализировалось.
Ищите почему ваши клиенты прыгают по IP как зайцы.
Кстати, если "192.168.20.7" -- IP "внутри" туннеля, то вы трафик туннельный "заворачиваете" опять же в туннель.
А
Бутылка клейна в сетях плохой вариант.