HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule (попробованы значения 2 и 0) - оставить в 2, в любом случае клиент за натом, и если вдруг сервер тоже за натом, то без двух здесь не заведется в принципе.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\ProhibitIpSec (опробовано 0 и 1) - оставить в 0, без шифрования глухо, а в IPsec оно как раз хорошее - MPPE в L2TP мягко скажем слабое по сегодняшним стандартам.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto (опробовано 0 и 1) - должно быть нерелевантно, но зависит от настроек сервера.
Windows Firewall полностью отключать и добавлять правила для UDP 500, 1701, 4500 - нерелевантно, со стороны клиента соединение исходящее, политика по умолчанию разрешает их.
Дальше - запустить VPN на том ПК с семеркой, который подключается, потом поднять сниффер на роутере и собирать обмен пакетами между вторым компом и сервером. Есть подозрение, что роутер некорректно реализует обработку NAT-T для L2TP и транслирует пакеты от второго клиента тоже в порт 4500, или выбивая его, или просто направляя ответ для второго клиента первому, возможно, имеет смысл отключить на нем отдельную обработку L2TP/IPsec passthrough и проверить работу всех клиентов.
Простой
