利用动态IP及域名方式实现两端建立ipsec问题

发布时间:  2012-07-18 浏览次数:  139 下载次数:  6
问题描述
客户利用USG2160 V100R005&USG2110-F V100R003两端都采用动态获取IP地址的方式上网,设备均做出口,未配置NAT穿越。并需要建立IPSEC VPN链路。实现VPN连接。USG2160 采用策略模板方式,并建立DDNS域名的绑定,指对端name名字。USG2110-F采用子策略方式指对端域名地址。

  该问题作为VxR5 IPSEC VPN常见配置方式,可以作为参考。

告警信息
处理过程

相关重要配置如下:

分支配置:

acl number 3000
 rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
 rule 15 permit ip

acl number 3001
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

dns resolve
dns server 202.99.96.68
          //开启DNS域名解析即配置DNS地址。
#
 set runmode firewall
#
ike proposal 10
#
ike peer a
 exchange-mode aggressive
 pre-shared-key bailiantongxun
 ike-proposal 10
 local-id-type name                      
 remote-name zongbu
 remote-address wpfok.3322.org    //配置远端设备的域名地址。

#

interface Dialer0
 link-protocol ppp
 ppp pap local-user atwq59621126 password simple 59621126
 ppp ipcp dns admit-any
 ip address ppp-negotiate                
 dialer user rutianyi
 dialer-group 1
 dialer bundle 1
 ipsec policy map1

#
ipsec proposal tran1
#
ipsec policy map1 10 isakmp
 security acl 3001
 ike-peer a
 proposal tran1

[USG2110_F]             disp ike sa
    connection-id  peer                  flag        phase   doi
  ----------------------------------------------------------------
       18          1.2.3.4    RD|ST        1     IPSEC
       19          1.2.3.4   RD|ST         2     IPSEC

 

总部配置:

acl number 3000
 rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
ike proposal 1
#
ike peer 1
 exchange-mode aggressive                
 pre-shared-key bailiantongxun
 ike-proposal 1
 undo version 2
 local-id-type name
 remote-name fenzhi

interface Dialer0
 link-protocol ppp
 ppp pap local-user atwq59692100 password simple 59692100
 ppp ipcp dns admit-any
 ip address ppp-negotiate
 dialer user atwq59692100
 dialer bundle 1                         
 ipsec policy map1
 ddns apply policy policy1
#

ddns policy policy1
 ddns username wpfok password xxxxxx
 ddns client wpfok.3322.org
 ddns server www.3322.org
 ddns apply policy Dialer0

ipsec proposal tran1
#
ipsec policy-template maptemp 1
 security acl 3000
 ike-peer 1
 proposal tran1
#
ipsec policy map1 10 isakmp template maptemp

 

  ---------------------------------------------------------------------
  connection-id  peer                    vpn   flag        phase   doi
  --------------------------------------------------------------------
     0x7        4.3.2.1     0          RD          v1:2    IPSEC
     0x6        4.3.2.1         0     RD          v1:1    IPSEC

根因

详细配置见附件

建议与总结
配置DDNS域名时,一定要保证客户端设备DNS地址做解析。

END