>>155
>>157

続きです。
「B拠点側端末に対してA拠点へ向けて上記アクセスリストのポート以外(80・443..等)は塞いだ方が良いと言う認識であってます?? 」

↑ の件ですが、IPSECトンネルのIPフィルタの処理にて、アウトバウンド側として、
拒否する様なアクセスリストが望ましいかと思います。
若しくは、A拠点側のIXルーターのtelnetサービスにログイン出来るIPアドレスを制限
する方法もあるかと思います。

該当箇所
ip access-list telnet permit ip src 192.168.101.0/24 dest any
telet-server ip access-list telnet
telnet-server ip enable

修正箇所
ip access-list telnet permit ip src 192.168.101.***/32 dest 192.168.101.0/24
no ip access-list telnet permit ip src 192.168.101.0/24 dest any

***に、アクセス許可するIPの第四オクテットを入れる

DDNSの更新については、IPSECアグレッシブモードの運用形態にて、仕方ないかもしれません。
それとコンフィグ内にて、IPSEC-SAの更新のためのネットワークモニターの機能が
未適用、DDNSでの名称解決のネームサーバの設定をされていないので、
任意のネームサーバを適用しないと、名称解決に時間がかかるケースも想定されます。
DDNSでしたが、MyDNSでないといけませんか?

Netmeisterの方が、性能面で良いかと思いました。
念のため、ネットワークモニターの設定例、ネームサーバの登録、Netmeister等の
登録例を転載致します。