TP-link与MSR v5通过ddns建立ipsec VPN

TP-link与MSR v5通过ddns建立ipsec VPN

一、TP -link侧配置:

1. 创建ike安全提议

   

2. 创建ike对等体

   

    

    

3. 创建ipsec安全提议:

   

4. 创建ipsec安全策略

二、MSR侧配置:

1. 开启dns代理和dns解析,并制定公网dns

   dns resolve

    dns proxy enable

    dns server 8.8.8.8

2. 创建ipsec感兴趣流量

   acl number 3000

    rule 0 permit ip source 192.168.7.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

    

3. 创建ike安全提议,与对端匹配:

   ike proposal 2

    encryption-algorithm 3des-cbc

    dh group2

    authentication-algorithm md5

    sa duration 28800

4. 创建ike对等体:

   ike peer 1

    proposal 2

    pre-shared-key simple  123456         //此密码与对端相同

    remote-address ***.*** dynamic            //制定对端域名

    

5. 创建ipsec安全提议

   ipsec transform-set 1

    encapsulation-mode tunnel

    transform esp

    esp authentication-algorithm md5

    esp encryption-algorithm 3des

    

    

6. 创建ipsec策略

   ipsec policy 720896 1 isakmp

   security acl 3000

    ike-peer 1

    transform-set 1

    sa duration traffic-based 1843200

    sa duration time-based 3600

7. 创建ddns策略

   ddns policy ***.***

    url http://xbzx01:1qaz2wsx3edc@***.***/dyndns/update?system=dyndns&hostname=<h>&myip=<a>

8. 在拨号口绑定ipsec策略

   interface Dialer1

   nat outbound 2014       //进行抵制转换

   ipsec no-nat-process enable       //禁止ipsec感兴趣流进行抵制转换

   ddns apply policy ***.*** fqdn ***.***    //绑定ddns策略

   ipsec policy 720896        //绑定ipsec策略

三、注意事项：

1.TP-link侧与MSR侧配置ddns并开启dns代理和dns解析，并指定正确的dns地址

2.MSR侧禁止ipsec感兴趣流量进行nat转换

3.MSR侧如果是使用3322的域名，一定要绑定FQDN。