LAN 内部で VPN サーバーを立てる場合はルータ側で VPN 通信を受け入れられるよう特定ポートを開放する必要があります。
VPN パススルー機能と混同されますが、こちらは逆というか LAN 内から外部に VPN 通信を通過させるというものです。
Mac OSX server 10.3.9にて、 L2TP/IPSec での VPN を行ってみます。
テスト環境
Iphone5+NEC Aterm BL190HW+Mac OSX server 10.3.9(VPN サーバー)
ポートマッピングやポートフォワードなどの設定で以下の NAT エントリを追加してポートを開放します。
L2TP/IPSec による VPN 通信
LAN 側ホスト | プロトコル | ポート番号 |
VPN サーバーの IP | UDP | 4500 |
VPN サーバーの IP | UDP | 500 |
PPTP による VPN 通信
TCP/1723 番ポートを解放する。
今回はルータの機種から分かるように、 VPN といっても SOHO や自宅 LAN レベルの環境を前提としています。
とはいっても、あくまでルータの部分は VPN サーバーまで通信を伝えるという役目しか果たさないので、規模が大きくなっても同様だと考えられます。
テスト環境では上記の2つのポートの解放で L2TP/IPSec による VPN 接続ができています。
UDP/1701 番ポートや ESP(TCP/50 番ポート)の解放が必要な場合もあるのですが、これは VPN サーバーの鍵方式によって変わってくるようなので、確認が必要です。
参考
http://atnetwork.info/ccnp4/vpn02.html
http://iici.cocolog-nifty.com/blog/2012/01/macbook-prol2tp.html
http://support.apple.com/kb/TS1629?viewlocale=ja_JP