Уже сто раз обсуждалось, но давайте подведу вам чеклист того, что нужно сделать в порядке убывания степени важности:
- если есть возможность, используйте только IKEv2 со строковыми уникальными идентификаторами Email/DN/FQDN. Никаких IKEv1, о нем стоит забыть, если только не стоит цель в совместимости с другими пирами, которые невозможно перенастроить / обновить.
- если есть возможность, не настраивайте другие IPsec-сервисы (даже клиентские) на этих марштуризаторах - чем больше вы их "навесите", тем сложнее вам будет разгребать проблемы с совместимостью.
- если есть возможность, ставьте 2.12.
По результату будем смотреть.