Watchguard Firewall - проблемы с SSLVPN

У меня есть клиент, на котором в качестве основного брандмауэра установлено устройство WatchGuard XTM 23. Я только что обновил его прошивку пару дней назад до последней версии для этой серии, 11.6.6.

Проблема в том, что мне не удалось настроить VPN-соединение для них.

Используя инструкции на http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html, я пытаюсь настроить VPN с подключением SSL: в веб-интерфейсе / панели мониторинга брандмауэра я захожу в VPN -> Mobile VPN с SSL, я включаю его, добавляю общедоступный IP-адрес организации, к которому подключен брандмауэр. Я настроил группу в Active Directory с именем "SSLVPN-Users", проверил, что окно WatchGuard может общаться с сервером Active Directory, и добавил себя в эту группу.

Затем я загрузил WatchGuard Mobile VPN с клиентом SSL на свой собственный компьютер с Windows 7, прошел ко 2-му зданию клиента через улицу (который имеет другое общедоступное подключение к Интернету) и попытался подключиться к VPN.

Когда я пытаюсь соединиться с клиентом, я получаю следующие ошибки:

2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814)  Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name

Сегодня я обнаружил Firebox System Manager и его "Traffic Monitor", который выдает текущую информацию журнала (обновляется каждые 5 секунд). К сожалению, похоже, что клиент не настроил какой-либо сервер журналирования WatchGuard / Firebox, поэтому фактически запись журналов на стороне сервера в файл не была выполнена. Я могу работать над реализацией этого, если мне нужно.

Я заметил, что если я попытаюсь пропинговать общедоступный IP-адрес клиента из внешнего источника, я не получу ответ обратно (если я не добавил политику в брандмауэр, чтобы разрешить трафик ICMP от "Внешнего", что я успешно сделал несколько секунд назад для целей тестирования - с тех пор это правило было отменено, чтобы не отвечать на внешние запросы ping).

В брандмауэре есть политика, позволяющая разрешать запросы аутентификации трафика SSLVPN, поступающие из любого внешнего источника в Firebox, а затем выполнять аутентификацию / фактически разрешать трафик VPN. Существует политика, позволяющая передавать трафик для любого пользователя в группе SSLVPN-Users. этот пользователь и внутренняя сеть.

Итак, мои вопросы:

1. Кто-нибудь видел эти ошибки ранее от клиента Watchguard VPN, и / или у вас есть какие-либо предложения о том, как я могу устранить эту ошибку?
2. Если мне нужно настроить сервер журналирования для получения журналов брандмауэра (для дальнейшего устранения этой проблемы), насколько сложна эта задача и требует ли она много системных ресурсов? В организации, с которой я консультируюсь, есть только 1 сервер, а не много ресурсов или технических ноу-хау.