Olhando o log parace que alguem aí na sua rede conectou numa VPN... saindo pela porta 500.
Antes de bloquear essa porta no firewall, acho melhor dar uma investigada melhor na máquina local e identificar o usuario ou até tentar entender a necessidade dessa VPN.
Irmão, ipsec geralmente é utilizado para tunel de vpn, alguns dos seus clientes está tentando acessar uma vpn é ocorre um erro no passwd, normal, até ai, nada com vc, mesmo pq o destino não é seu ip correto? msm pq vc não deve exibir o seu ip, mas como foi dito vê esse teu cliente ai e monitora ele.
É tentativa de conexão externa vindo de um IP Dinamico domestico.... veja mais detalhes: https://ip-whois-lookup.com/lookup.php?ip=95.30.167.126
Olhando parece ser uma brecha de segurança na sua rede, alguém de fora querendo acessar sua rede local.
Mas se nenhum Admin de rede foi quem configurou a VPN, então veja com algum desenvolvedor se não há algum modulo embutido no software ERP da empresa, que possua caracteristicas de VPN ou software ipsec ativado em nivel de hardcode no sistema. Ou se há colaboradores ou filiais/matriz (externos), residentes em outro País. Tem que cercar o problema aos poucos, pois somente assim vc podera ter certeza que se trata de brecha de segurança e especular existencia de maquina comprometida por botnet ou backdoors.
Digo isso porque avaliar um log é fácil, dificil é enteder não só como funciona mas sobretudo as reais necessidades, inerentes à infraestrutura da cada rede!