Watchguard L2TP sobre IPsec passthrough

4

Estou tentando conectar a um servidor VPN (L2TP sobre IPsec) através de (não para ) um dispositivo WatchGuard XTM 505.

Eu tenho a configuração do servidor VPN por trás do firewall em um NAT 1 para 1, e outros protocolos (como o tráfego HTTP) são encaminhados para esse servidor muito bem. Além disso, as conexões VPN para a máquina funcionam perfeitamente por trás do firewall (ou seja, da LAN).

Eu criei "Enabled and Available" as seguintes políticas para o servidor VPN:

  • L2TP (abre o UDP 1701)
  • IPsec (abre UDP 500, UDP 4500, AH e ESP)
  • PPTP (abre o TCP 1723 e GRE)

No entanto, sempre que ligar de fora, vejo os seguintes registos a partir da consola XTM:

2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ********   Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: -->   Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123      Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <--   Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed       Debug

Portanto, parece que o Firebox não está encaminhando esse tráfego para o NAT 1-para-1 como deveria ser; em vez disso, parece tentar atuar como o próprio servidor VPN, interceptando a solicitação IKE (mas falhando porque não a configurei para VPN).

O que estou perdendo? Existe alguma configuração para forçar o firewall a encaminhar as tentativas de conexão VPN ao longo do NAT? Preciso configurar algum tipo de túnel entre o firewall e o servidor VPN? Talvez eu precise adicionar uma rota estática de algum tipo?

    
por Chris Tonkinson 28.12.2011 / 21:35

1 resposta

0

Na VPN - > Configurações de VPN, existe uma opção de passagem IPSec que deve ser ativada:

ParecequeoWatchGuardpretendequeissosejausadoparaconexõesVPNdesaídadeIPSec(declientesdaLANparapontosdeextremidadedaWAN).Parafazerissofuncionarparaconexõesdeentrada,nomínimo,vocêprecisarámodificarasregrasdeIPSecgeradasautomaticamenteparapermitirconexõesdeentradaemvezdeoualémdasconexõesdesaída.

TambémsugeririadefinirumNATbaseadoempolíticanasuaregraIKEparaaportaUDP500.

Referência: Manual do WSM

    
por 03.01.2012 / 07:39