PPP Agent Options
Allow no authentication = Yes
MSChap v2 = No

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

спасибо
изменил, ошибки теже - возможное не совпадение psk и неправильный ike payload

может я как то не так psk создаю?
использую генератор паролей, сейчас там пароль из букво-цифр длинной 16

Не нужно никаких генераторов!
Для теста напишите обычное слово из 8-10 символов, в котором точно не ошибетесь, и телефон не поправит сам.
Например, authentication.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Насчет ike payload...
Попробуйте выставить IKE v.2 или v1 + v2
Яблочники могли на свежих девайсах отказаться от IKE v.1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

ikev2 не помогло как и очень простой psk
заколдованный круг

кроме аппл еще пробовал из synology подключиться - так же безрезультатно, хотя раньше до замены прошивки оттуда я цеплялся

а не может быть так, что вместо указаной настройки ipsec цепляется та, что первая?

Какие настройки добавлялись с тех пор, как раньше L2TP работал?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

L2TP перестал работать после upgrade прошивки на новый интерфейс
после чего я сбрасывал настройеки, пробовал настроить заново
потом откатил прошивку на одну ступеньку вниз из предположения что возможно это какие то баги в самой последней WW прошивке
не помогло
потом на время оставил эту затею, а чуть позже купил с рук второй DFL860E и поднял между ними IPSEC, это заработало без проблем

сейчас вернулся к идее настроить доступ мобильными клиентами
пока безуспешно

На обоих DFL внешние IPшники?
Если нет, - то в этом и причина проблем с L2TP.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

в том то и дело что внешний IP только на одном
из за этого я в их линке не могу прописать endpoint
и это то почему я не могу настроить для клиентов просто IPSEC без L2TP
как я понял из документации DFL использует endpoint как ключ к выбору подходяей настройки, а если в первой настройке стоит allnet то выбирается она вне зависимости от всего остального

в настройке L2TP настройка IPSEC указывается явно, разве это не меняет алгоритм выбора? думаете в любом случае работает первая настройка?

Я поэтому и спросил об этом.

В Вашем случае для тоннеля между DFL'ками следует еще заполнить поля Local ID и Remote ID с обоих концов. Тогда он будет идентифицироваться отдельно.
Только тогда удастся победить проблему.
Да, и выставить ike v1 + like v2 на том, который для L2TP.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

пытался заполнить LocalID и RemoteID но видимо не разобрался в том что туда прописывать, с ними не заработало
что туда прописывать?

Параметры идентификации устройств: IP, наименование и прочее. Кроме Вас этого никто не знает. Читайте мануал.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

так я сначала прочитал, а потом написал - что не понимаю что туда прописывать
вот выжержка из manual:



если туда надо прописывать внешний IP - то я не могу этого сделать, он на одной из сторон динамический

да вычислите вы империческим путем диапазон IP адресов удаленного DFL и пропишите его в RemoteEndPoint $-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

это Yota и исходя из наблюдений адреса назначаются при переподключении из весьма разных подсетей
в службе поддержки отказались назвать перечень возможных адресов
а белый адрес они вообще не дают физикам, только юрикам