通过IPSec传递的Watchguard L2TP

我试图通过 （而不是）WatchGuard XTM 505设备连接到VPN（L2TP over IPsec）服务器。

我在一对一的NAT上设置了防火墙后面的VPN服务器，其他的协议（比如HTTPstream量）都被转发到那个服务器上。 此外，到机器的VPN连接在防火墙后（即从LAN）完美工作。

我已经为VPN服务器制定了“启用并可用”以下策略：

• L2TP（打开UDP 1701）
• IPsec（打开UDP 500，UDP 4500，AH和ESP）
• PPTP（打开TCP 1723和GRE）

然而，无论何时从外部连接，我都能从XTM控制台看到以下日志：

• Symantec Endpoint Protection Small Business禁用Windows 2008 R2防火墙，如何解决此问题？
• 理由不使用pfsense作为透明的防火墙？
• 如何停止星号上的注册尝试
• pfsense 2.0.1防火墙SMB共享不在networking下显示
• freebsd上的实时第7层（http.request.uri）过滤

2011-12-27 16:24:08 iked ******** RECV an IKE packet at 1.2.3.4:500(socket=11 ifIndex=4) from Peer 123.123.123.123:48165 ******** Debug 2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: --> Debug 2011-12-27 16:24:08 iked Failed to find phase 1 policy for peer IP 123.123.123.123 Debug 2011-12-27 16:24:08 iked IkeFindIsakmpPolicy: <-- Debug 2011-12-27 16:24:08 iked ike_process_pkt : IkeFindIsakmpPolicy failed Debug 

所以看起来好像Firebox不会将stream量转发到1对1的NAT， 相反，它似乎试图作为VPN服务器本身，拦截IKE请求（但由于我没有configuration为VPN而失败）。

我错过了什么？ 是否有一些设置强制防火墙转发VPN连接尝试沿NAT？ 我是否必须预先在防火墙和VPN服务器之间configuration某种隧道？ 也许我需要添加某种静态路由？