L2TP over IPSec

会社でリモートアクセスVPNを構築することになりました。
クライアントはWindows PCなので、標準でサポートされているL2TP over IPSecを選択することにしました。
IPSecはユーザ認証機能を持っていませんが、L2TPと組み合わせることによってユーザ毎にアクセス制限を行うことができます。
IPSecにユーザ認証機能を追加するXAUTHというのもありますがWindows標準では対応してないので見送り。
Windows標準対応のVPNプロトコルにはPPTPもありますが、IPSecよりセキュリティ的に劣るのでこれも見送り。
VPNルータはL2TP over IPSecに対応していることと価格がそれなりに安いことでAlliedのAR450Sを選定しました。
わかりやすい日本語ドキュメントがあるのもポイント高いです。
IPsec NAT-Traversalを利用したリモートアクセス型L2TP + IPsec VPN(クライアントはWindows XP)
ドキュメントを参考に設定を行いVPNを構築することができましたが、NATとファイアウォールの設定で少しはまってしまいました。
IPSecファイアウォールとNATの設定が相互に絡み合うので接続できない原因を特定するのに苦労してしまいました。
IPSec自体も設定項目が多いので、相互接続事例がない場合のトラブルシューティングはさらに困難が予想されます。
私はまだそれほどVPNの構築をしたことはありませんがもうIPSecはめんどくさいのでSoftEtherに行ってしまいたい気分です。