A resposta à minha pergunta é usando o Log de diagnóstico: link
Estou solucionando problemas de conectividade VPN com o Forefront TMG. Tudo parece correto na configuração, mas os pacotes são bloqueados independentemente.
Os logs não são muito descritivos. Eu vejo:
Denied Connection
Log type: Firewall service
Status: The policy rules do not allow the user request.
Rule: Default rule
Source:
Destination:
Protocol
Existe uma maneira de obter um log mais detalhado no console de gerenciamento TMG? Nota: usando a edição Enterprise.