Пакеты пойдут кому-то одному. Самый частый пример - L2TP/IPsec VPN два клиента за одним натом, который не меняет порт. Когда пытается подняться второй VPN, он подняться не может, потому что у нат-устройства в таблице правил NAT запись IP/порт уже занята, и оно отправляет все обратные пакеты тому устройству, которое в этой записи прописано. Если устройство считает, что запись NAT устарела, то первый VPN разорвется, а второй построится.
В нормальной сети с нормально настроенным натом такой ситуации быть не должно, за исключением ситуации, в которой одно соединение по таймауту разорвало нат-устройство, после чего следующему соединению был назначен тот же IP+порт, что и разорванному соединению, и тут на устройство прилетел запоздалый пакет. Он в этом случае должен быть отброшен, так как его источник не соответствует записи в нат-таблице. То есть правильно считать, что такой ситуации не бывает, но при отладке нужно проверять, не оказывается ли так, что двум соединениям нат-устрйоство пытается назначить один и тот же IP+порт.
