Недавно мы изменили наш FW на ZyWall 310, значительно увеличив пропускную способность по сравнению со старым. Однако возникла новая проблема: у нас есть несколько клиентов L2TP / IPSec, которые подключаются к FW удаленно. Но если двое из них попытаются подключиться из удаленного офиса с NAT-маршрутизатором, подключиться сможет только первый, второму будет отказано. Это новая проблема, в которой большинство настроек очень похоже на предыдущую прошивку.
Кажется, возникает какой-то конфликт политик, когда несколько клиентов подключаются с одного и того же удаленного общедоступного IP-адреса? Единственное сообщение журнала, которое может помочь нам здесь, - это журнал IKE:
ISAKMP SA [Default_L2TP_VPN_GW] отключен
В настройках IPSec VPN-соединения есть конфиг «Использовать маршрут политики для управления динамическими правилами IPSec» - следует ли его снять?
Спасибо за любые предложения по этой проблеме!
Насколько мне известно. Некоторые NAT могут обнаруживать «конфликт» идентификаторов вызовов и изменять их, чтобы несколько соединений VPN оставались уникальными. Для этого у NAT должен быть редактор PPTP. Это, конечно, не то, что производители маршрутизаторов обычно рекламируют в своих спецификациях. Вам нужно будет покопаться на их веб-сайте, чтобы найти. Например, на странице поддержки VPN маршрутизаторов Netgears вы увидите, что некоторые маршрутизаторы Netgear поддерживают только одно соединение VPN; именно здесь они не могут изменять идентификаторы вызова, в то время как некоторые другие маршрутизаторы могут поддерживать несколько соединений VPN. Пожалуйста, свяжитесь с центром поддержки Zyxel и убедитесь, что он поддерживает несколько VPN-подключений.