防火墙ipsecvpn疑问

总部采用 IPsec 模板模式，可以同时接收来自多个分支的连接，无需为每个分支单独配置。模板模式下，总部既能接收主模式的协商请求，也能接收野蛮模式的协商请求，实现统一管理。

一、 总部防火墙配置思路

核心逻辑是：总部不关心分支 IP，只关心分支带来的身份标识（如 FQDN 或自定义字符串）。

关键配置要点：

1. 创建 IKE 提议：定义加密算法、认证算法、DH 组等，两端必须完全一致

2. 创建 IKE 密钥：配置预共享密钥，使用地址 0.0.0.0/0 匹配所有分支

3. 创建 IKE 安全框架（Profile）：

   • 设置交换模式为 aggressive（野蛮模式），以便接收动态 IP 分支的请求

   • 配置本端身份（如 FQDN center）

   • 配置对端身份匹配规则（如 FQDN branch*）

4. 创建 IPsec 模板：关联上述 IKE Profile

5. 创建 IPsec 策略：将模板应用到外网接口

6. 配置安全策略：放行 IKE（UDP 500/4500）和 ESP 协议

7. 配置 NAT 豁免：确保匹配 IPsec 兴趣流的流量不做 NAT

二、分支防火墙配置思路

情况 A：分支有固定公网 IP

• IKE 模式：主模式

• 配置远端地址：填写总部的固定公网 IP

• 配置预共享密钥：与总部保持一致

• 配置感兴趣流：本端内网网段 ↔ 总部内网网段

情况 B：分支无固定公网 IP（拨号、PPPoE）

• IKE 模式：野蛮模式

• 远端地址：填写总部的固定公网 IP（分支知道总部 IP）

• 本端身份：必须配置一个唯一标识，如 FQDN branch1 或自定义字符串

• 对端身份：填写总部配置的身份标识，如 FQDN center

• 预共享密钥：与总部一致

常见问题与注意事项

1. 动态 IP 分支的身份标识：由于不用 FQDN 域名，你可以直接用自定义字符串作为身份标识，只要总部能匹配上就行。

2. NAT 穿越（NAT-T）：如果分支在运营商 NAT 后面，两端都必须启用 NAT-T（默认端口 UDP 4500），确保 ESP 报文能正确封装。

3. DPD 探测：建议开启 DPD，当分支 IP 变化或链路中断时，可以快速检测并重建隧道。

4. 多网段互通：如果分支有多个网段需要互通，确保总部侧的兴趣流配置能匹配所有分支网段。如果使用 IKEv1，一个 IPsec 策略只能对应一对网段。

5. 感兴趣流配置：两端配置的感兴趣流必须完全对称（源=对端目的），否则隧道建立后也无法通信