我们最近将 FW 更换为 ZyWall 310,与旧版相比,吞吐量有了显著提高。但是出现了一个新问题,我们有几个 L2TP/IPSec 客户端从远程连接到 FW。但是,如果其中两个尝试从具有 NAT 路由器的远程办公室进行连接,则只有第一个可以连接,另一个将被拒绝。这是一个新问题,其中大多数设置与以前的 FW 非常相似。
当多个客户端从同一个远程公共 IP 连接时,似乎存在某种策略冲突?唯一可以指导我们的日志消息是 IKE 日志:
ISAKMP SA [Default_L2TP_VPN_GW] 已断开连接
IPSec VPN 连接设置中有一个配置“使用策略路由来控制动态 IPSec 规则” - 应该取消选中吗?
感谢针对此问题的任何建议!
答案1
据我所知,有些 NAT 可以检测到呼叫 ID“冲突”,并对其进行修改以保持多个 VPN 连接的唯一性。NAT 必须具有 PPTP 编辑器才能实现这一点。当然,这不是路由器制造商在其规格表上宣传的内容。您需要在他们的网站上进行搜索才能找到。例如,在 Netgears 路由器 VPN 支持页面上,您会看到一些 Netgear 路由器仅支持一个 VPN 连接;这就是他们无法修改呼叫 ID 的地方,而其他一些路由器可以支持多个 VPN 连接。因此,请联系 Zyxel 支持中心并确保它支持多个 VPN 连接。