IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет.
Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть.
Надо будет изучить.