国产防火墙对接翻车记，动态IP难题破解全记录，隧道连通背后的血泪史。

今天公司网络出了个大麻烦，分公司防火墙和总部深信服设备连不上VPN。分公司用的是山石网科的防火墙，外网走PPPoE拨号导致IP总变，而总部那边深信服用的是固定IP。问题就是这两个设备要连IPsec站点到站点的VPN，让员工能远程访问OA和RTX系统。

技术员先是从第一阶段开始搞，对端设备信息填好后发现双方动态IP不行，得有一方固定。结果分公司这边PPPoE根本没法固定，只能把深信服设为固定IP。接着设置预共享密钥的时候，两边密码不同试了好多次才对上。高级设置里存活时间和重试次数差点忘记同步，后来发现差一秒都连不上。

搞完第一阶段进第二阶段就更麻烦了。入站策略要把分公司10.10.11.0/24的地址放进去，出站策略填总部192.168.18.0/24。安全选项里加密算法选AES，认证算法用SHA-1，结果和山石那边的设置又没对齐。折腾半小时才发现对方用了MD5，换个算法又试了五次才通。

山石那边配置也费劲，IKE提议P1和P2参数总对不上。特别是DH群组得选一样的，深信服用的是组5，山石却默认设成组2。到最后两边工程师视频连线挨个参数比对，发现协议版本都不一样，一个用IKEv1一个用了IKEv2。

最头疼的是加密隧道偶尔断开，查日志发现是存活时间设置短了。把标准ISAKMP存活时间从3600秒改到7200秒后稳定多了。安全选项里ESP协议和AH协议的区别搞不懂，问了深信服官网才知道直接选ESP封装就行。

调试三天两夜，终于看到状态栏转绿。测试时分公司电脑访问RTX服务器延迟高了两倍，后来才意识到两边MTU没统一对。最后改成1400值才正常。现在想想纯用深信服设备能简单不少，他们自有账号能自动协商，不用调这么多参数。

两台设备连上了，电脑能正常访问服务器，这事就这么结束了。