Настройка IKEv2-туннеля между Linux (Strongswan) и Keenetic Hopper

[fixxxer78]

Здравствуйте.

Не подскажет ли уважаемое сообщество рабочий вариант настроек IPsec IKEv2 туннеля между Linux со Strongswan 5.9.10 и Keenetic Hopper с KeeneticOS 3.9.5? В настоящее время не никак не получается создать рабочий туннель - с виду соединение устанавливается, ключами обменивается, маршруты поднимаются, трафик в ESPinUDP-пакеты инкапсулируется, но связи нет. WireShark'ом вижу ESPinUDP-пакеты, доходящие до другой стороны туннеля (в обе стороны, с правильными ID), но далее что-то идет не так и туннелированного трафика не видно. В логах даже показать нечего - соединение устанавливается без ошибок.

Такое поведение только с crypto engine software. C crypto engine hardware трафик также не ходит, и в логах кинетика на каждый принятый ESPinUDP-пакет появляется сообщение

kernel EIP93: EIP93: request was timed out
kernel EIP93: PE ring[5] error: EXT_ERR, EXT_ERR_CODE: 78
 

При замене кинетика на машину с Linux с "зеркальной" конфигурацией strongswan все работает, как задумывалось.

Конфигурация strongswan на стороне сервера:

conn tunnel
    left = %any
    right = %any
    authby = psk
    keyingtries = %forever
    keyexchange = ikev2
    dpdaction = clear
    mobike = yes
    leftid = server@ipsec.local
    rightid = keenetic@ipsec.local
    leftsubnet = 192.168.1.0/24
    rightsubnet = 192.168.11.0/24
    type = tunnel
    ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
    esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!
    auto = add
 

Чувствую я, что что-то перемудрил с параметрами шифрования, но не могу понять что именно. Если кто поделится рабочим примером конфига strongswan для организации IKEv2-туннеля с кинетиком - буду очень благодарен.