Tl-er6020 vpn

Instalacja i konfiguracja urządzeń TP-Link
#1

Mam skonfigurowany VPN IPSec/L2TP na TL-ER6020 podpięty pod brzegowy router, a więc na porcie WAN mam stały adres (10.0.0.200).

W sieci wewnętrznej, gdy buduję tunel, to się poprawnie składa, ale połączenie z zewnątrz (przez brzegowy router) jest blokowane. Mam na brzegowym routerze przekierowanie portów 50, 500, 4500, 17 oraz 1701 (wszystkie UDP) na adres routera TL-ER6020 (czyli na 10.0.0.200). Wszystko się poprawnie loguje i negocjuje, tylko nie przyłącza użytkownika. Oto log łączenia z sieci wewnętrznej (jest OK);
2020-04-09 13:02:12 ltotp[20415]: <5> 08014007 WAN1: Account Prac1 logged in. L2TP server assigned virtual IP 192.168.123.17 to 10.0.0.17.
2020-04-09 13:02:08 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->10.0.0.17)
2020-04-09 13:02:08 ipsec[4521]: <5> 01912555 WAN1: Phase 1 of IKE negotiation succeeded. (Peers=10.0.0.200<->10.0.0.17)
2020-04-09 13:02:08 ipsec[4521]: <5> 01912552 WAN1: IKE negotiation began in responder mode. (Mode=Main Mode, Peers=10.0.0.200<->10.0.0.17)

i log z połączenia z zewnątrz (brak 'Prac1 logged in. L2TP server assigned virtual IP 192.168.123.17 to 31.60.64.104) - nie ma błędu, ale nie loguje użytkownika:

2020-04-09 12:54:13 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)
2020-04-09 12:54:04 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)
2020-04-09 12:53:55 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)
2020-04-09 12:53:52 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)
2020-04-09 12:53:48 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)
2020-04-09 12:53:48 ipsec[4521]: <5> 01912557 WAN1: Phase 2 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)
2020-04-09 12:53:48 ipsec[4521]: <5> 01912555 WAN1: Phase 1 of IKE negotiation succeeded. (Peers=10.0.0.200<->31.60.64.104)

Wyłączamy firewall narouterze brzegowym, ale to nic nie daje.
Prosze o pomoc bardziej doświadczonych.

#2

Temat do zamknięcia. Wszystko pięknie jest opisane w artykule i pomogło w konfiguracji routera stojącego za NAT:
https://www.tp-link.com/pl/support/faq/1029/