Вопрос назрел. Есть центральный офис и несколько филиалов. В центре стоит DFL-1660 по филиалам 860E и 260E. На всех шлюзах стояла прошивка 2.60 и все IPSEC туннели были подняты на сертификатах. Все работало без проблем. Как то года два назад, была попытка, в тестовых целях, на двух филиалах перейти на fw 10.21 и 10.22. Но она не увенчалась успехом. После обновления, все IPSECи на сертификатах отвалились. Пробовал перевести на PSK. Все работает. После отката обратно на 2.60 - все опять заводится без проблем. Затем я бросил это дело. И вот сейчас решил все филиалы перевести на 11.04 и попробовал 11.10 . Та же проблема:

statusmsg="No proposal chosen" reason="No valid certificate found for ID C=RU, ST=KR_Kray, L=Krasnoyarsk, O=XXXX, OU=XXXX-IVCH, CN=dfl-a, MAILTO=postmaster" local_peer="ХХХ.ХХХ.ХХХ.ХХХ:500 ID (null)" remote_peer="ХХХ.ХХХ.ХХХ.ХХХ:500 ID (null)" spi_i=0x6dafa46131089607 spi_r=0x0000000000000000 initiator=TRUE
На противоположно конце тоннеля такая же ошибка.

В настройках IPSEC ничего не менял. В доке к новой версии FW ничего вразумительного не нашел. Поэтому вынужден обратится на форум.
Повторюсь. При переходе на PSK - все заводится . В синхронизацией времени проблем нет. Я в курсе, что IPSEC на сертификатах критичен ко времени.

Что Вам мешает остаться на psk, раз это работает в вашем случае?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В данный момент я так и вынужден был сделать. Но с сертификатами , при большом количестве филиалов, работать проще.