Спасибо за подсказку - в выходные экспериментировал активно ставил. Высокие уровни шифрования просто не поддерживаются виндой.. Более того, при согласовании протокола винда SHA256 вообще не предлагает..
Для эксперимента сбросил н настройки и подключился по дефолту - метод шифрования 3des был выбран на автомате(((
В итоге самый простой метод нашел - просто удалил из профилей L2TPServer 3DES, DES, MD5, и виндовс сумел согласовать протокол AES128+SHA1+ECP384.. Но тут опять же можно удалить вообще все протоколы из профилей L2TP и заново протоколы которые там были (без 3DESов) ввести, но в другом порядке - сначала более стойкое шифрование, следующей строкой более слабое.
Этот метод сработал, при том в режиме сервера протоколы изменились(но в Фазе2), спасибо большое. Правда и минусы нашел:
1. У меня настроен еще и L2tpIPsec клиент до VPS в Нидердандах. А протоколы уровня strong прописались как в клиенте, так и в сервере (Фаза2). Так что клиент престал подключаться к VPSу))) Решение чуть выше написал - именно редактирование профиля L2TPServer.
2. Еще нюанс именно в сервере - Фаза 1 остается с слабыми протоколами по умолчанию..
IKE тут при том (если я правильно понимаю), что при Фазе 1 происходит обмен ключами для фазы 2, на которой ключами с Фазы 1 и шифруется трафик. Соответственно, условный кулхацкер или тов.майор берет копию netflow, дешифрует фазу 1 (если она нестойким алгоритмом зашифрована) и получает ключи для дешифровки Фазы 2.... Profit!
Конечно, можно сказать что я заморачиваюсь, но тут вопрос в смысле шифрования IPSec'ом - смысл теряется от сложного в настройке от IPSecа, если можно тот же PPTP VPN включить, все равно его вскроет любой профессионал)))
PS: Настроил на внешнем сервере WireGuard + на роутере клиент WG настроил - все отлично работает)) Ранее не понимал - что так все его хвалят... Оказалось он прост в настройке, нет требует больших знаний в безопасности протоколов (используемых в IPSEC) и шустро работает. Протестировал - 100мбит/с скачивание торрентов грузит CPU кинетика (Giga) на 50%.