Вопрос: Устройства DI-xxx поддерживают режим IPSec pass-through. Какой протокол можно использовать в этом случае при настройке IPSec - ESP или AH?

Ответ: 

NAT устройства DI-xxx в режиме IPSec pass-through поддерживают ТОЛЬКО протокол ESP в туннельном режиме. Подробнее по совместной работе IPSec и NAT можно почитать здесь: http://www.ietf.org/rfc/rfc3715.txt или здесь: http://ccc.ru/magazine/depot/01_03/read.html?web.htm