Estou tentando conectar a um servidor VPN (L2TP sobre IPsec) através de (não para ) um dispositivo WatchGuard XTM 505.
Eu tenho a configuração do servidor VPN por trás do firewall em um NAT 1 para 1, e outros protocolos (como o tráfego HTTP) são encaminhados para esse servidor muito bem. Além disso, as conexões VPN para a máquina funcionam perfeitamente por trás do firewall (ou seja, da LAN).
Eu criei "Enabled and Available" as seguintes políticas para o servidor VPN:
No entanto, sempre que ligar de fora, vejo os seguintes registos a partir da consola XTM:
2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ******** Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: --> Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123 Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <-- Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed Debug
Portanto, parece que o Firebox não está encaminhando esse tráfego para o NAT 1-para-1 como deveria ser; em vez disso, parece tentar atuar como o próprio servidor VPN, interceptando a solicitação IKE (mas falhando porque não a configurei para VPN).
O que estou perdendo? Existe alguma configuração para forçar o firewall a encaminhar as tentativas de conexão VPN ao longo do NAT? Preciso configurar algum tipo de túnel entre o firewall e o servidor VPN? Talvez eu precise adicionar uma rota estática de algum tipo?
Na VPN - > Configurações de VPN, existe uma opção de passagem IPSec que deve ser ativada:
ParecequeoWatchGuardpretendequeissosejausadoparaconexõesVPNdesaídadeIPSec(declientesdaLANparapontosdeextremidadedaWAN).Parafazerissofuncionarparaconexõesdeentrada,nomínimo,vocêprecisarámodificarasregrasdeIPSecgeradasautomaticamenteparapermitirconexõesdeentradaemvezdeoualémdasconexõesdesaída.
TambémsugeririadefinirumNATbaseadoempolíticanasuaregraIKEparaaportaUDP500.
Referência:
Tags vpn firewall watchguard