Всем спасибо!
Действительно, после открытия портов 2712/udp и 3000/tcp на обоих ИСАх клиент стал подключаться через VPN туннель, хотя мне кажется такая схема должна быть необходима при конекте пользователя просто из инета, а у меня, при настроенном межмаршрутизаторном соединении, по идее должно было без открытия портов работать, но ....
надо разбираться
