Watchguard L2TP over IPsecパススルー
VPN(L2TP over IPsec)サーバーに接続しようとしていますthrough(not to)WatchGuard XTM505アプライアンス。
1対1のNATでファイアウォールの背後にVPNサーバーをセットアップしており、他のプロトコル(HTTPトラフィックなど)はそのサーバーに問題なく転送されます。また、マシンへのVPN接続は、ファイアウォールの背後から(つまり、LANから)完全に機能します。
VPNサーバーに対して次のポリシーを「有効にして利用可能」にしました。
- L2TP(UDP 1701を開きます)
- IPsec(UDP 500、UDP 4500、AHおよびESPを開く)
- PPTP(opens TCP 1723 and GRE)
ただし、外部から接続すると、XTMコンソールから次のログが表示されます。
2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ******** Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: --> Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123 Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <-- Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed Debug
したがって、Fireboxはこのトラフィックを1対1に転送していないように見えますNAT本来あるべき姿です。むしろ、VPNサーバー自体として機能し、IKEを傍受しようとしているようです。リクエスト(ただし、VPN用に構成していないため失敗します)。
何が足りないのですか?ファイアウォールにNATに沿ってVPN接続の試行を転送するように強制する設定はありますか?ファイアウォールとVPNサーバーの間にある種のトンネルを事前に構成する必要がありますか?おそらく、ある種の静的ルートを追加する必要がありますか?
[VPN]-> [VPN設定]には、有効にする必要のあるIPSecパススルーオプションがあります。
WatchGuardはこれをアウトバウンドIPSec VPN接続(LANクライアントからWANエンドポイントへ)に使用することを意図しているようです。これをインバウンド接続で機能させるには、少なくとも自動生成されたものを変更する必要があります。アウトバウンド接続の代わりに、またはアウトバウンド接続に加えて、インバウンド接続を許可するIPSecルール。
また、UDPポート500のIKEルールにポリシーベースのNATを設定することをお勧めします。
参照: WSMマニュアル