VPN тоннели не поднимаются!!!

При создании VPN тоннеля между двумя LAN в логах пишет на 1-ом DFL-700:
Local0.Error 192.168.111.3 EFW: IPSEC: prio=4 SPD rejected conn using selectors unknown(any:0,[0..0]=)(ipv4(any:0,[0..3]=xx.xx.xx.xx)) <-> (ipv4(any:0,[0..3]=yy.yy.yy.yy))unknown(any:0,[0..0]=)
Local0.Warning 192.168.111.3 EFW: IPSEC: prio=3 SPD Phase-1 policy [responder]; Can not get policy for ipv4(any:0,[0..3]=xx.xx.xx.xx) <-> ipv4(any:0,[0..3]=yy.yy.yy.yy)
на втором:
<6>EFW: IPSEC: prio=1 Phase-1 [initiator] between ipv4(udp:500,[0..3]=yy.yy.yy.yy) and ipv4(udp:500,[0..3]=xx.xx.xx.xx) failed; No proposal chosen.
При этом в Status|VPN сначала появляется запись (В этот момент ping из одной подсети в другую проходит.
) и пропадает через несколько секунд.
В Listing of active IKE SAs - all tunnels есть записи:
Gateway Created Expires
yy.yy.yy.yy 1970-01-01 04:00:00 1970-01-01 04:00:00 [Close]
yy.yy.yy.yy 1970-01-01 04:00:00 1970-01-01 04:00:00 [Close]
yy.yy.yy.yy 1970-01-01 04:00:00 1970-01-01 04:00:00 [Close]
и т.д.
Иногда здесь есть записи с актуальной датой и временем.

Прошивки одинаковые: 1.33SU1
Все настройки многократно проверены.

Во первых удалите все имеющиеся SA на обоих хостах
Во-вторых не надо закрывать адреса.
<6>EFW: IPSEC: prio=1 Phase-1 [initiator] between ipv4(udp:500,[0..3]=yy.yy.yy.yy) and ipv4(udp:500,[0..3]=xx.xx.xx.xx) failed; No proposal chosen.
Не может быть выбран метод аутификации.

1. Все имеющиеся SA на обоих хостах удалялись на обоих хостах неоднократно - не помогло
2. xx.xx.xx.xx соответствует некоему внещнему IP1.
yy.y.y.yy соответствует некоему внещнему IP2.
3. Не может быть выбран метод аутификации - что это значит? и почему не может быть выбран?
4. Почему в логи проставляется такая непонятная дата (1970-01-01)?

ИТОГО: проблема на данный момент НЕ решена

ниже настройки:
DFL-700-#1
Name Main
Local Net 192.168.112.0/24
PSK - Pre-Shared Key 1234567890
LAN-to-LAN tunnel
Remote Net 192.168.111.0/24
Remote Gateway IP1
Limit MTU:
IKE Mode: Main mode IKE
IKE DH Group: 2 - modp 1024-bit
PFS: V Enable Perfect Forward Secrecy
PFS DH Group: 1 - modp 768-bit
NAT Traversal: On if supported and needed (NAT detected between gateways)
Keepalives: No keepalives.
IKE Proposal List
Cipher Hash Life KB Life Sec
#1: 3DES MD5 0 28800
IPsec Proposal List
#1: 3DES MD5 0 3600
......... Остальное по дефолту

DFL-700-#2
Name Main
Local Net 192.168.111.0/24
PSK - Pre-Shared Key 1234567890
LAN-to-LAN tunnel
Remote Net 192.168.112.0/24
Remote Gateway IP2
Limit MTU:
IKE Mode: Main mode IKE
IKE DH Group: 2 - modp 1024-bit
PFS: V Enable Perfect Forward Secrecy
PFS DH Group: 1 - modp 768-bit
NAT Traversal: On if supported and needed (NAT detected between gateways)
Keepalives: No keepalives.
IKE Proposal List
Cipher Hash Life KB Life Sec
#1: 3DES MD5 0 28800
IPsec Proposal List
#1: 3DES MD5 0 3600
......... Остальное по дефолту

NAT'ы есть на пути у устройств?
в proposals с 2-х сторон вписаны только по одному методу шифрации?
PS: Если не можете выставить свои данные, то скиньте конфигу мне в почту.

1. Нет (Только в самих девайсах)
2. Нет (я писал - по дефолту). Настройки ниже:
IKE Proposal List
Cipher Hash Life KB Life Sec
#1: 3DES MD5 0 28800
#2: AES-128 Allowed:128-256 MD5 0 28800
#3: 3DES SH-1 0 28800
#4: 3DES MD5 0 28800
#5: DES SH-1 0 28800
#5: DES MD5 0 28800

IPsec Proposal List
Cipher Hash Life KB Life Sec
#1: 3DES MD5 0 3600
#2: AES-128 Allowed:128-256 MD5 0 3600
#3: 3DES SH-1 0 3600
#4: 3DES MD5 0 3600
#5: DES SH-1 0 3600
#5: DES MD5 0 3600

P.S. данные выслал

В службе поддежки получены следующие инструкции:
Выставьте пожалуйста в Proposals(IKE и IPSec) обоих устройств по одному
методу шифрования и хеширования.
Например:

#1: 3DES MD5 0
28800

#2: ------------------------------- MD5 0 28800

#3: ------------------------------- SH-1 0 28800

#4: ------------------------------- MD5 0 28800

#5: ------------------------------- SH-1 0 28800

#5: ------------------------------- MD5 0 28800



IPsec Proposal List

Cipher Hash Life KB
Life Sec

#1: 3DES MD5 0 3600

#2: ------------------------------- MD5 0 3600

#3: ------------------------------- SH-1 0 3600

#4: ------------------------------- MD5 0 3600

#5: ------------------------------- SH-1 0 3600

#5: ------------------------------- MD5 0 3600


Действительно, с такими настройками канал VPN поднялся. ping проходит из одной подсети в другую.
СПАСИБО!
Тема закрыта.