Watchguard L2TP через сквозной IPsec

Я пытаюсь подключиться к серверу VPN (L2TP через IPsec) через (не к) устройство WatchGuard XTM 505.

У меня есть настройка VPN-сервера за брандмауэром на NAT 1-к-1, и другие протоколы (например, HTTP-трафик) пересылаются на этот сервер нормально. Кроме того, VPN-подключения к машине отлично работают из-за брандмауэра (то есть из локальной сети).

Я сделал для VPN-сервера следующие политики «Включено и доступно»:

L2TP (открывает UDP 1701)
IPsec (открывает UDP 500, UDP 4500, AH и ESP)
PPTP (открывает TCP 1723 и GRE)

Однако при подключении извне я вижу следующие журналы из консоли XTM:

2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ********   Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: -->   Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123      Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <--   Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed       Debug

Таким образом, похоже, что Firebox не пересылает этот трафик в NAT 1-к-1, как это должно быть; скорее кажется, что он пытается действовать как сам VPN-сервер, перехватывая запрос IKE (но безуспешно, потому что я не настроил его для VPN).

Что мне не хватает? Есть ли какая-то настройка, заставляющая брандмауэр пересылать попытки VPN-подключения через NAT? Нужно ли мне предварительно настроить какой-то туннель между брандмауэром и VPN-сервером? Возможно, мне нужно добавить какой-то статический маршрут?

Я знаю, что это очень старый поток и, вероятно, к настоящему времени он решен, но если вы используете старую топку T30 / T50 и все еще имеете эту проблему с подключением L2TP, попробуйте следующее:

Перейдите в Глобальные настройки VPN на панели управления.
Снимите флажок «Включить встроенную политику IPSec».

Если все остальное настроено правильно, это должно помочь.

В VPN -> Настройки VPN есть опция сквозной передачи IPSec, которая должна быть включена:

Похоже, WatchGuard намеревается использовать это для исходящих подключений IPSec VPN (от клиентов LAN к конечным точкам WAN). Чтобы это работало для входящих подключений, вам нужно как минимум изменить автоматически сгенерированные правила IPSec, чтобы разрешить входящие подключения вместо исходящих подключений или в дополнение к ним.

Я также предлагаю установить NAT на основе политик для вашего правила IKE для UDP-порта 500.

Ссылка: Руководство по WSM