SA> Таки добpались pуки, попpобовал на своих стаpых конфигах, не завелось. SA> Или успели сломать, или у меня что-то не так, или оно и не pаботало :)
У меня работает, не сломали.
SA> Jun 18 16:22:15 server racoon: phase2(???): 0.000450 SA> 2017-06-18 16:22:30: ERROR: 2.94.202.179 give up to get IPsec-SA due to time up SA> to wait.
А у тебя случается банальный таймаут во время согласования IKE. Может быть, кто-то по пути не пропускает udp по порту 4500. Может даже локальный файрвол на одной из сторон.
SA> x x [x] NATTF SA> require NAT-Traversal (fail without kernel-patch)
И вот эту опцию попробуй убрать и пересобрать ipsec-tools, она (опция) не нужна.
SA> x x [x] SAUNSPEC SA> Unspecified SA mode
А зачем ты поставил галку напротив Unspecified SA mode, ты в курсе, для чего это?
Win7 у меня нет для теста, попробовал подключиться с Win 8.1, обнаружил несколько особенностей:
* по дефолту оно не посылает свой fqdn в качестве идентификатора, вместо этого шлет IP-адрес, поэтому в racoon.conf, как и для iOS, в remote {} надо использовать my_identifier address и verify_identifier off (или искать, как перенастроить винду на fqdn);
* нужен proposal с encryption_algorithm aes, hash_algorithm sha1 и dh_group modp2048, чтобы они с фрёй договорились (ну или 3DES c dh_group modp1024).
* винда по дефолту не любит set l2tp enable hidden/set l2tp secret в конфиге mpd.conf и моментально разрывает соединение, как только получает первый l2tp-ответ от mpd с таким конфигом, так что это пришлось убрать.
После чего win8.1 из-за NAT успешно установила соединение l2tp/ipsec psk с FreeBSD 11.0-STABLE на реальном IP (racoon+mpd5), получила IP и трафик ходит.