Förlåt, men jag tycker verkligen det är fel, en brandvägg har ingenting med en NAT-enhet att göra, de funkar helt oberoende av varandra. T.ex är det ganska vanligt att man på enterprise-grejer får konfa NAT och FW separat från varandra, alltså bara för att du skapar en NAT/PAT regel så skapas det automatiskt inte en FW-regel som tillåter trafiken.
Ta Ciscos väldigt korta förklaring på vad en brandvägg är
A firewall is a network security device that monitors incoming and outgoing network traffic and decides whether to allow or block specific traffic based on a defined set of security rules.
https://www.cisco.com/c/en/us/products/security/firewalls/wha...
Ingenstans på den sidan nämns något om NAT eller translate.
En brandvägg tar AKTIVA beslut baserat på de regler som är uppsatta.
Att en NAT-gateway inte skickar vidare viss trafik är en PASSIV biverkning av hur den fungerar, som exempel skickar den inte vidare inkommande trafik till enheter bakom om det inte finns någon NAT/PAT-regel för det, men det är INTE ett aktivt beslut.
Att en router på internet inte routar "privata" (RFC1918) adresser plus en del andra nät är ett aktivt beslut som världen kommit överens om och konfat alla sina enheter att inte göra. Det är inget magiskt med just de näten som gör att det inte går att routa.
Även om det är en intressant diskussion så är detta mitt sista inlägg i denna tråden angående just detta ämne då det är väldigt off-topic.
@ts1337
Kolla i din hotspot vad den har fått för IP på sitt WAN-interface, kan också heta public IP eller liknande.
Om den ligger mellan 100.64.x.x och 100.127.x.x så är det en så kallad CG-NAT adress och det kommer inte att fungera.
Om den istället börjar på något annat ( skriv gärna de två första grupperna här för att bekräfta) så är det något annat som spökar.
Föklara eller rita upp hur du tänkt att telefon/pc, hotspot och din VPN-server ska prata med varandra.