USG2160 pc客户端登陆动态域名建立ipsec不成功解决方法

发布时间:  2014-09-11 浏览次数:  163 下载次数:  0
问题描述

使用客户端登陆ddns,在usg2160上使用域名建立ipsec隧道,单两端显示都为如下状态,peer都为0.0.0.0。ipsec sa也没有协商起来。


    connection-id  peer         flag        phase   doi
  ----------------------------------------------------------------
       56          0.0.0.0         RD|ST         2     IPSEC
       55          0.0.0.0         RD|ST         1     IPSEC

告警信息
处理过程

在两端设备上添加上dns server x.x.x.x 后,域名解析成功,ike也解析到ip建立起来。状态如下:

    connection-id  peer         flag        phase   doi
  ----------------------------------------------------------------
       56          1.1.1.1         RD|ST         2     IPSEC
       55          1.1.1.1         RD|ST         1     IPSEC

根因
检查ipsec配置,没有任何问题,怀疑是客户端没有更新域名和新的公网ip的绑定关系。但在电脑上ping域名是有和出口公网ip建立对应关系的。所以就在设备上ping 域名,发现不能解析到,才发现是只添加了dns resolve,没有配置dns 解析服务器
建议与总结

如果使用域名建立ipsec,一定要加上dns解析和dns服务器地址才能解析到最新更新的公网地址,才能成功建立ipsec隧道,即:

dns resolve

dns server x.x.x.x

 

END