Hole Punching ist vielleicht ein verwirrender Name. Die Methode wird halt so genannt. Aber da wird kein dauerhaftes Loch in die Firewall/NAT Barriere geschlagen. Das ist nur ein koordinierter Verbindungsaufbau, den die Geräte mit Hilfe eines externen Servers durchführen (aber nicht durch diesen Server). Der Trick ist, dass beide gleichzeitig je eine ausgehende UDP-"Verbindung" starten, die beide "zufällig" genau so zu der Verbindung des jeweils anderen Endgeräts passen, dass sie von beiden Firewalls/NATs als eine einzige Verbindung wahrgenommen werden, die von innen nach außen geht. Wie weit der Port offen ist, hängt von den Eigenschaften des NATs ab, deshalb der Hinweis auf RFC 4787.
Den Trick muss die Software auf den Endgeräten beherrschen. Der Server im Internet stellt nur die nötige Information bereit. Die SoftEther Software kann das, ZeroTier auch. L2TP und OpenVPN können das nicht. Wenn du eine Software einsetzen möchtest, die solche Tricks nicht drauf hat, oder das VPN auch dann funktionieren soll, wenn auf beiden Seiten NAT ist und Hole Punching nicht geht, dann kommst du um ein Relay nicht herum, egal ob das ein eigenes ist oder von Diensten wie SoftEther oder ZeroTier zur Verfügung gestellt wird..
[Edit Novize: Gelöschten Beitrag wieder hergestellt - Threadvandalismus wird nicht geduldet]