web-dev-qa-db-ja.com

Watchguard L2TP over IPsecパススルー

VPN(L2TP over IPsec)サーバーに接続しようとしていますthrough(not to)WatchGuard XTM505アプライアンス。

1対1のNATでファイアウォールの背後にVPNサーバーをセットアップしており、他のプロトコル(HTTPトラフィックなど)はそのサーバーに問題なく転送されます。また、マシンへのVPN接続は、ファイアウォールの背後から(つまり、LANから)完全に機能します。

VPNサーバーに対して次のポリシーを「有効にして利用可能」にしました。

  • L2TP(UDP 1701を開きます)
  • IPsec(UDP 500、UDP 4500、AHおよびESPを開く)
  • PPTP(opens TCP 1723 and GRE)

ただし、外部から接続すると、XTMコンソールから次のログが表示されます。

2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ********   Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: -->   Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123      Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <--   Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed       Debug

したがって、Fireboxはこのトラフィックを1対1に転送していないように見えますNAT本来あるべき姿です。むしろ、VPNサーバー自体として機能し、IKEを傍受しようとしているようです。リクエスト(ただし、VPN用に構成していないため失敗します)。

何が足りないのですか?ファイアウォールにNATに沿ってVPN接続の試行を転送するように強制する設定はありますか?ファイアウォールとVPNサーバーの間にある種のトンネルを事前に構成する必要がありますか?おそらく、ある種の静的ルートを追加する必要がありますか?

4
Chris Tonkinson

[VPN]-> [VPN設定]には、有効にする必要のあるIPSecパススルーオプションがあります。

WatchGuardはこれをアウトバウンドIPSec VPN接続(LANクライアントからWANエンドポイントへ)に使用することを意図しているようです。これをインバウンド接続で機能させるには、少なくとも自動生成されたものを変更する必要があります。アウトバウンド接続の代わりに、またはアウトバウンド接続に加えて、インバウンド接続を許可するIPSecルール。

また、UDPポート500のIKEルールにポリシーベースのNATを設定することをお勧めします。

参照: WSMマニュアル

0
Skyhawk