He estado teniendo algunos problemas con el uso del
SecureRemote / SecureClient que utiliza Checkpoint para crear VPN. En principio, el protocolo que utiliza,
ipsec no permite su uso en situaciones donde exista NAT. Sin embargo, hay trabajos en el IETF para permitir su uso en situaciones donde exista NAT. Dicha especificación es la
NAT-T, RFC 3193 y draft-02 de dicha especificación. El cliente L2PT de Microsoft (actualizado) las soporta.
Checkpoint ha implementado para evitar las limitaciones del NAT dos mecanismos: el uso de encapsulación sobre UDP, es decir meter IPSEC dentro de UDP en vez de usar los tipos de protocolos IP 50 (ESP) e IP 51 (AH). Esto puede configurarse en el Firewall-1 sobre las opciones de la gateway en la parte de Remote Access, activando la opción
Support NAT traversal mechachanish (UDP encapsulation), seleccionando un puerto para el mismo (por defecto 2746).
Si existen problemas de fragmentación en el intercambio de claves, puede activarse el soporte de IKE sobre TCP, en las propiedades globales del firewall.
Por último un par de enlaces sobre el tema: