Hola:

   Para este tipo de problemas lo importante es  determinar en dónde está fallando la conexión, si es en lado del cliente  o el lado del servidor. Aquí hay algunas recomendaciones al respecto:

* Para IPSEC VPN hay que asegurarse que los puertos UDP 500 y 4500, así como  los protocolos 50 (ESP) y 51 (AH) están permitidos en el Firewall 5500, así como en  el lado del servidor VPN. Si estás usando una conexión PPTP, el puerto  es TCP 1723 y el protocolo es 47 (GRE).

Para el caso de una VPN IPSEC:

*  En el lado del cliente de VPN hay que habilitar los logs (Log ->  Enable) con Settings en nivel 3 de preferencia. Aquí hay que buscar si  hay retransmisiones en el momento de la negociación del túnel, o si es  en algún punto específico de la negociación (por ejemplo que el servidor  no mandó una dirección IP o falló la autenticación). Si hay retransmisiones, o el tráfico del cliente no llega o el servidor no está contestando.

*  En el lado del servidor de VPN se puede revisar el estado de la  negociación de fase I, o bien correr un "debug crypto isakmp" y un  "debug crypto ipsec" para ver en qué parte de la negociación se esta  fallando.

* Si tu Firewall 5500 ya tiene un túnel de  VPN/IPSEC establecido entonces ya está ocupando el puerto UDP 500 y el  protocolo 50 (ESP) de su IP de salida, si los clientes de VPN se están  traduciendo a esta IP por medio de NAT el túnel ya establecido podría  interferir con la negociación de los clientes. Hay que asegurarse que el  servidor de VPN tenga habilitado NAT-T.

En este  sentido, si requieres ayuda con el análisis de los logs del cliente o  bien los debugs del servidor te recomendaría abrir un caso en el TAC, ya  que dicha información puede contener datos privados de tu empresa que  podría no ser conveniente de manejar en una comunidad pública como esta.

Saludos,

Ricardo.