本端深信服防火墙，版本8.0.85，有固定IP，对端别的厂家的防

本端深信服防火墙，版本8.0.85，有固定IP，对端别的厂家的防火墙，没有固定IP，怎么配置IPSEC 做为响应者，对端做为发起者建立连接？
别的厂家的也有一边是固定IP，一边拔号的，可以正常建立连接，深信服的设置了怎么都连接不上。

注意第一阶段和第二阶段的加密算法两端要保持一致，看vpn日志，问题出现在哪里

对端防火墙配置要点
发起者配置：
选择动态IP作为本端标识。
配置与深信服防火墙一致的预共享密钥、加密/认证算法、DH组。
启用野蛮模式协商。
NAT穿越：
若对端位于NAT后，需配置NAT-T（NAT Traversal）并开放UDP 500/4500端口。

1. 深信服防火墙基础配置
接口与区域：
确认公网接口（如eth0）已配置固定IP，并划分至“外网区域”。
内网接口（如eth1）划分至“内网区域”，并放通区域间流量。
启用IPSec服务：
进入【网络】→【Sangfor】→【IPSec VPN】→【VPN运行状态】，勾选“开启VPN服务”。
2. IKE阶段配置（第一阶段）
关键参数：
协商模式：选择野蛮模式（Aggressive Mode）（对端无固定IP时必需，因主模式需固定IP标识身份）。
预共享密钥：与对端协商一致（如test@1234）。
加密算法：选择双方支持的算法（如AES-256）。
认证算法：选择SHA-256等强认证算法。
DH组：选择DH Group 14或更高（确保密钥交换安全）。
生命周期：建议86400秒（与对端一致）。
操作路径：
进入【网络】→【Sangfor】→【IPSec VPN】→【第三方对接】→【第一阶段】，点击“新增”。
填写对端设备信息（对端类型选“动态IP”），配置上述参数。
3. IPSec阶段配置（第二阶段）
入站策略：
定义对端内网网段（如192.168.2.0/24）为源地址，本端内网网段（如10.0.0.0/24）为目的地址。
选择第一阶段配置的设备名称，允许开放的服务（如ESP协议）。
出站策略：
定义本端内网网段为源地址，对端内网网段为目的地址。
配置与入站策略一致的加密/认证算法。
操作路径：
进入【网络】→【Sangfor】→【IPSec VPN】→【第三方对接】→【第二阶段】，分别配置入站/出站策略。
4. 安全选项配置
算法组合：
检查是否存在与对端一致的认证算法（如SHA-256）与加密算法（如AES-256）组合。
若无，点击“新增”或“编辑”添加组合。
NAT穿越：
启用NAT穿越（NAT Traversal），确保IKE报文能穿透NAT设备。
若对端位于NAT后，需在深信服防火墙配置UDP 500/4500端口映射。
5. 路由与ACL配置
静态路由：
添加到对端内网网段的路由，下一跳指向IPSec隧道接口。
访问控制列表（ACL）：
放通本端内网到对端内网的流量（如允许ESP协议、ICMP等）。

一般是你们这边深信服防火墙作为发起端，对面是响应端，