Bis Freitag hat mein VPN zur USG20 mit aktuellster FW bestens funktioniert. Ich hatte bis dahin einen I-Net Zugang von der Telekom Austria (A1) mit einer Fixen IP-Adresse. Seit Freitag gehe ich über eine Ubiquiti Nanostation M5 die am WAN-Port der USG 20 angeschlossen ins Internet. Fixe-IP hab ich auch da, jedoch liegt die IP nicht mehr an der USG20 (im Weiteren FW genannt) an, sondern an der Nanostation (im Weiteren M5 genannt).
Auf der M5 ist eine Bridge definiert.
Am WAN-Port der FW ist folgendes definiert.
IP: 172.17.0.10
SubNet: 255.255.255.0
GW: 172.17.0.254
Wenn ich im LAN die VPN Verbindung auf 172.17.0.10 mache, dann kommt sie auch zu Stande. Nicht jedoch, wenn ich über die Externe gehe. Dann habe ich im Log den Fehler "No Proposal choosesn" bzw. sehe ich, dass die Phase 2 fehl schlägt, weil er einen Mismatch hat.
Meine Vermutung geht dahin, dass sich während dem Aushandeln die IP von der Externen auf die 172.17.0.10 ändert und die FW dadurch die Verbindung wieder abbricht. Eine andere Konfig an der M5 ist nicht möglich, da diese vom Provider eingestellt wird. Meine Recherche im Internet hat meine Vermutung untermauert, gibt es doch wenige spärliche Hinweise, dass ein IPSEC-VPN zu einer FW, die hinter einer Bridge liegt, nicht funktioniert. PPTP dürfte laufen, ist aber in diesem Fall keine Alternative.
Für Vorschläge bin ich offen. Ein Ticket bei Zyxcel ist auch offen, aber leider noch keine Reaktion. Eventuell gibt es doch eine Möglichkeit das zum Laufen zu bringen. Wenn nicht, oder wenn extrem kompliziert (aber was ist schon kompliziert) dann soll es so sein. Davon geht bei mir die Welt nicht unter.