Watchguard防火墙 – SSLVPN问题

我有一个客户在现场安装了WatchGuard XTM 23设备作为他们的主要防火墙。 我刚刚几天前升级了它的固件到11.6.6这个系列的最新版本。

问题是我没有成功地为他们设置VPN连接。

使用http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html上的说明，我正在尝试设置VPN使用SSL连接：从防火墙Web GUI /控制台，我使用SSL转到VPN – > Mobile VPN，启用它，添加组织的防火墙所连接的公共IP地址。 我在Active Directory中设置了一个名为“SSLVPN-Users”的组，validation了WatchGuard框可以与Active Directory服务器交谈，并将自己添加到该组。

然后，我将带有SSL客户端的WatchGuard Mobile VPN下载到我自己的Windows 7计算机上，走到街对面的客户的第二栋楼（它有不同的公共互联网连接），并尝试连接到VPN。

• IPtables NAT疑惑者：为什么来自防火墙主机的stream量不是来自某个指定的源地址，而是被NAT转换的？
• 用UFWlocking我的Ubuntu服务器
• Windowsnetworking负载平衡是否需要打开任何特定的端口？
• 无法访问除RD（3389）以外的任何Azure虚拟机端口
• 所有IPv6stream量都被pf阻塞

当我尝试与客户端连接时，出现以下错误：

2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814) Built:Jun 13 2012 01:42:55 2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443 2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002 2013-06-24T15:41:50.106 failed to get domain name 

今天我发现了Firebox系统pipe理器，以及提供当前日志信息（每5秒更新一次）的“Traffic Monitor”。 不幸的是，它看起来不像客户端设置任何types的WatchGuard / Firebox日志logging服务器，所以实际上logging服务器端日志到文件尚未完成。 如果需要的话，我可以开展工作。

我注意到，如果我尝试从外部来源ping客户端的公共IP地址，我不会得到回应（除非我在防火墙中添加策略以允许来自“外部”的ICMPstream量，我成功地做了一些几秒前出于testing目的 – 该规则已被恢复为不响应外部ping请求）。

在防火墙中有一个策略允许来自任何外部源的SSLVPNstream量authentication请求到达Firebox，然后执行authentication/实际上允许VPNstream量，允许SSLVPN用户组中任何人stream量的策略在该用户和内部networking。

所以我的问题是：

1. 有没有人从Watchguard VPN客户端看过这些错误，并且/或者您对我如何解决该错误有任何build议？
2. 如果我需要安装日志服务器来抓取防火墙日志（为了进一步解决这个问题），一个任务是多么复杂，并且需要大量的系统资源？ 我正在咨询的组织只有一个服务器，并没有太多的资源或技术诀窍。