SA>> Конфиги стаpые, котоpые pанее pаботали: SA>> # cat racoon.conf AK> оох, мля... тут жеж еще и l2tp, а не только esp, да?
l2tp/ipsec тоже нынче нормально работает, включая клиентов в виде Android и iOS. Со стороны фряхи ipsec-tools+mpd5 и полностью автоматическая генерация политик IPSEC парочкой racoon+ядро.
Разве что iOS не даёт настраивать и не умеет присылать fqdn, чтобы racoon мог выдать proposal на основе fqdn, если разным клиентам нужно выдавать разные proposal.
У меня как раз такой случай - есть и древние роутеры, которые тупо по CPU не тянут нынешние алгоритмы шифрования, хотя формально и умеют и даже работают, только сильно тормозят. Зато умеют передавать fqdn.
Приходится разделять по dh group: новым 2, старым 1.
И два remote в конфиге, один для старых с ph1id 0, verify_identifier on, my_identifier fqdn и набором proposal с dh_group 1.
И второй с ph1id 1, verify_identifier off, my_identifier address и набором proposal с dh_group 2. И соответственно две секции sainfo anonymous с разными remoteid и алгоритмами.
Android умеет присылать fqdn, но из-за iOS и для единообразия пришлось и его подключать по такой же схеме, как и iOS, работает.
IPSEC shared secret вынуждено один для всей группы мобильных юзеров, авторизация юзеров и допуск в сеть по логину/паролю PPP в mpd5, который поднимается внутри l2tp/ipsec. До сертификатов этот клиент не дорастёт, наверное.