Брандмауэр Watchguard - Проблемы с SSLVPN

У меня есть клиент, у которого есть устройство WatchGuard XTM 23 в качестве основного брандмауэра. Я только что обновил его прошивку пару дней назад до последней версии для этой серии, 11.6.6.

Проблема в том, что мне не удалось настроить для них VPN-соединение.

Используя инструкции на http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html, Я пытаюсь настроить VPN с SSL-соединением: в веб-интерфейсе / приборной панели брандмауэра я перехожу к VPN -> Mobile VPN с SSL, включаю его, добавляю публичный IP-адрес организации, к которому подключен брандмауэр. Я создал группу в Active Directory под названием «SSLVPN-Users», проверил, что WatchGuard может взаимодействовать с сервером Active Directory, и добавил себя в эту группу.

Затем я загрузил WatchGuard Mobile VPN с SSL-клиентом на свой компьютер с Windows 7, подошел ко 2-му зданию клиента через улицу (в котором есть другое общедоступное подключение к Интернету) и попытался подключиться к VPN.

Когда я все же пытаюсь подключиться к клиенту, я получаю следующие ошибки:

2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814)  Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name

Сегодня я обнаружил диспетчер системы Firebox и его «монитор трафика», который дает текущую информацию журнала (обновляется каждые 5 секунд). К сожалению, не похоже, что клиент установил какой-либо сервер журналов WatchGuard / Firebox, поэтому на самом деле запись журналов на стороне сервера в файл не производилась. Я могу работать над реализацией этого, если мне нужно.

Я заметил, что если я попытаюсь проверить связь с общедоступным IP-адресом клиента из внешнего источника, я не получу ответа (если я не добавил политику в брандмауэр, разрешающую трафик ICMP из «Внешнего», что я успешно сделал несколько секунд назад в целях тестирования - с тех пор это правило было отменено, чтобы не отвечать на внешние запросы ping).

В брандмауэре есть политика для разрешения запросов аутентификации трафика SSLVPN, поступающих из любого внешнего источника В Firebox, а затем для выполнения аутентификации / фактического разрешения трафика VPN, существует политика, разрешающая трафик для любого в группе пользователей SSLVPN проходить между этого пользователя и внутренней сети.

Итак, мои вопросы:

1. Кто-нибудь видел эти ошибки раньше в Watchguard VPN Client, и / или есть ли у вас какие-либо предложения о том, как я могу исправить эту ошибку?
2. Если мне нужно настроить сервер журналов для получения журналов брандмауэра (для дальнейшего устранения этой проблемы), насколько сложна эта задача и требует ли она много системных ресурсов? У организации, с которой я консультируюсь, всего 1 сервер и не так много ресурсов или технических ноу-хау.