Watchguard 防火墙 - SSLVPN 问题

我有一个客户，他在现场安装了 WatchGuard XTM 23 设备作为主要防火墙。几天前我刚刚将其固件升级到该系列的最新版本 11.6.6。

问题是我无法为他们成功设置 VPN 连接。

使用以下说明http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html，我正在尝试设置带有 SSL 连接的 VPN：从防火墙 Web GUI/仪表板，我转到 VPN -> 带有 SSL 的移动 VPN，启用它，添加防火墙连接到的组织的公共 IP 地址。我在 Active Directory 中设置了一个名为“SSLVPN-Users”的组，验证了 WatchGuard 框可以与 Active Directory 服务器通信，并将自己添加到该组。

然后，我将带有 SSL 客户端的 WatchGuard Mobile VPN 下载到我自己的 Windows 7 机器上，走到街对面客户的第二栋楼（该楼有不同的公共互联网连接），并尝试连接到 VPN。

当我尝试连接客户端时，出现以下错误：

2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814)  Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name

我今天发现了 Firebox 系统管理器及其“流量监视器”，它提供当前日志信息（每 5 秒刷新一次）。不幸的是，客户端似乎没有设置任何类型的 WatchGuard / Firebox 日志服务器，因此实际上尚未将服务器端日志记录到文件中。如果需要，我可以努力实现这一点。

我注意到，如果我尝试从外部源 ping 客户端的公共 IP 地址，我不会收到响应（除非我向防火墙添加了一个策略以允许来自“外部”的 ICMP 流量，几秒钟前我出于测试目的成功地完成了这个操作 - 该规则现已恢复为不响应外部 ping 请求）。

防火墙中有一项策略，允许从任何外部源向 Firebox 发送 SSLVPN 流量身份验证请求，然后进行身份验证/实际允许 VPN 流量，有一项策略允许 SSLVPN-Users 组中任何人的流量在该用户和内部网络之间流动。

我的问题是：

1. 有人曾经在 Watchguard VPN 客户端上看到过这些错误吗？或者您对如何解决该错误有什么建议吗？
2. 如果我需要设置日志服务器来获取防火墙日志（以便进一步解决此问题），这项任务有多复杂？是否需要大量系统资源？我咨询的组织只有 1 台服务器，没有太多资源或技术知识。