h3c防火墙ipsec配置

好的我试下

# ike profile h3c-sangfor_IPv4_1 keychain h3c-sangfor_IPv4_1 dpd interval 30 on-demand exchange-mode aggressive local-identity user-fqdn h3cf1005 match remote identity user-fqdn 789 match local address Dialer0 proposal 1 # 这里 match local address Dialer0删掉

# ike keychain h3c-sangfor_IPv4_1 match local address Dialer0 pre-shared-key hostname 789 key cipher $c$3$v4CVxPp1cbbYaKcBA5jONWqwQNx1PMUiUQS4iw== 这里改为：pre-shared-key address 0.0.0.0 255.255.255.255 key simple 密码

这两个先改了

改 nat outbound会断网，需要插串口改

还是不行 ，唉，按照你的改了还是不行

ike keychain h3c-sangfor_IPv4_1删除掉重新配置下，还是配置成pre-shared-key address 0.0.0.0 255.255.255.255 key simple 密码这样，然后两边reset ike sa ,reset ipsec sa再重新触发ping 下看能否协商起来

已经按照你的修好了重新ping了下对方还是没协商起来，唉

 counting description GuideNat 大神，这个参数是做什么的

我ping了下对方ipsec两边建立起来了，没有问题了，但是现在新出来一个问题，我路由器断了下外网，深信服这边显示DPD超时了，然后我两边设备都重启了还是连接不起来了，我以前碰到过这个问题，这个DPD超时一定要等到这个sa生命周期结束才能两边对接上，现在两边重启设备，重启vpn服务都不行，难道一定要等到sa生命周期结束才能再次连接上？

counting是统计， description GuideNat是描述信息，可以删掉，dpd那个，就是防止一边有ipsec sa，另一边没有这种情况的，需要两边设备都配置上，如果还是协商不起来，两边都reset ike sa,reset ipsec sa 后重新ping触发