我正在尝试连接到 VPN(IPsec 上的 L2TP)服务器通过(不是到) WatchGuard XTM 505 设备。
我在防火墙后面设置了 1 对 1 NAT 的 VPN 服务器,其他协议(如 HTTP 流量)都可以正常转发到该服务器。此外,从防火墙后面(即从 LAN)到机器的 VPN 连接也运行正常。
我已将以下策略设置为“已启用并可用”:
- L2TP(打开 UDP 1701)
- IPsec(打开 UDP 500、UDP 4500、AH 和 ESP)
- PPTP(打开 TCP 1723 和 GRE)
然而,每当从外部连接时,我都会从 XTM 控制台看到以下日志:
2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ******** Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: --> Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123 Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <-- Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed Debug
因此,看起来好像 Firebox 并没有像它应该的那样将该流量转发到 1 对 1 NAT;相反,它似乎试图充当 VPN 服务器本身,拦截 IKE 请求(但由于我没有为 VPN 配置它而失败)。
我遗漏了什么?是否有一些设置可以强制防火墙沿 NAT 转发 VPN 连接尝试?我是否必须在防火墙和 VPN 服务器之间预先配置某种隧道?也许我需要添加某种静态路由?
答案1
在 VPN -> VPN 设置中,有一个必须启用的 IPSec 直通选项:
WatchGuard 似乎打算将其用于出站 IPSec VPN 连接(从 LAN 客户端到 WAN 端点)。要使其适用于入站连接,至少需要修改自动生成的 IPSec 规则以允许入站连接,而不是出站连接或作为出站连接的补充。
我还建议在 IKE 规则上为 UDP 端口 500 设置基于策略的 NAT。
参考:WSM 手册
答案2
我知道这是一个非常老的线程,现在可能已经解决了,但是如果你正在运行旧的 T30 / T50 火箱并且仍然有这个 L2TP 连接问题,请尝试以下操作:
- 转到仪表板上的“全局 VPN 设置”
- 取消选中“启用内置 IPSec 策略”。
只要其他一切都配置正确,这应该就可以解决问题。
