Firewall

Watchguard L2TP over IPsec 直通

  • May 4, 2020

我正在嘗試通過(**而不是)WatchGuard XTM 505 設備連接到 VPN(L2TP over IPsec)伺服器。

我在防火牆後面的一對一 NAT 上設置了 VPN 伺服器,並且其他協議(例如 HTTP 流量)被轉發到該伺服器就好了。此外,與機器的 VPN 連接可以在防火牆後面(即 LAN)完美執行。

我為 VPN 伺服器設置了“啟用和可用”以下策略:

  • L2TP(打開 UDP 1701)
  • IPsec(打開 UDP 500、UDP 4500、AH 和 ESP)
  • PPTP(打開 TCP 1723 和 GRE)

然而,無論何時從外部連接,我都會從 XTM 控制台看到以下日誌:

2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ********   Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: -->   Debug
2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123      Debug
2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <--   Debug
2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed       Debug

因此,Firebox 似乎沒有按照應有的方式將此流量轉發到 1 對 1 NAT;相反,它似乎試圖充當 VPN 伺服器本身,攔截 IKE 請求(但由於我沒有為 VPN 配置它而失敗)。

我錯過了什麼?是否有一些設置可以強制防火牆沿 NAT 轉發 VPN 連接嘗試?我是否必須在防火牆和 VPN 伺服器之間預先配置某種隧道?也許我需要添加某種靜態路由?

在 VPN -> VPN 設置中,有一個必須啟用的 IPSec 直通選項:

WatchGuard 似乎打算將其用於出站 IPSec VPN 連接(從 LAN 客戶端到 WAN 端點)。要使此功能適用於入站連接,您至少需要修改自動生成的 IPSec 規則以允許入站連接,而不是出站連接或除出站連接之外。

我還建議在您的 IKE 規則上為 UDP 埠 500 設置基於策略的 NAT。

參考:WSM 手冊

引用自:https://serverfault.com/questions/344809