Есть 2 DFL 210 на одном IP динамический (B), на другом static (A)

настройки IPSEC на DFL A
Роутер А:

Name: UK
local network: lannet
Remote network: KU-net
Remote Endpoint: none
Encapsulation mode: Tunnel
IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPSec Lifer Time: 3600 seconds
IPSec Life Time: 0 kilobytes

Pre-Shared key: UK-KRpsk
Local ID Type: e-mail
Local ID Value XX@mail.ru
XAuth: Off
Dynamically add route
Packet Sizes 1424
Automatically pick the address of a local interface that corresponds to the local net
IKE: Main
DH Group: 2
PFS: None
Security Association : Per net
Nat Traversal: off
Dead Peer Dectcion: on
Keep-alive: disabled
Add route for remote network: on

Настройки DFL B
Name: UK
local network: lannet
Remote network: UK-net
Remote Endpoint: UK-IP
Encapsulation mode: Tunnel
IKE Algorithms: Medium
IKE Life Time: 28800
IPsec Algorithms: Medium
IPSec Lifer Time: 3600 seconds
IPSec Life Time: 0 kilobytes

Pre-Shared key: UK-KRpsk
Local ID Type: e-mail
Local ID Value XX@mail.ru
XAuth: Off
Dynamically add route
Packet Sizes 1424
Automatically pick the address of a local interface that corresponds to the local net
IKE: Agressive
DH Group: 2
PFS: None
Security Association : Per net
Nat Traversal: off
Dead Peer Dectcion: on
Keep-alive: disabled
Add route for remote network: on

В логах следующее:

2007-12-24
09:17:31 Info IPSEC
01802708


ike_sa_destroyed
ike_sa_killed
rev=1 ike_sa= Initiator SPI ESP=0xb1a229c4, AH=0x0bbed8f5, IPComp=0x59d4a42
2007-12-24
09:17:31 Warning IPSEC
01802022


ike_sa_failed
no_ike_sa
rev=2 statusmsg="No proposal chosen" local_peer=XXX.XXX.XXX.XXX ID No Id remote_peer=XX.XXX.XX.XXX ID XX@mail.ru initiator_spi=ESP=0xb1a229c4, AH=0x0bbed8f5,
2007-12-24
09:17:31 Warning IPSEC
01802715


event_on_ike_sa

rev=1 side=Responder msg="failed" int_severity=6
2007-12-24
09:17:31 Warning IPSEC
01800107


ike_invalid_proposal

rev=1 local_ip=XXX.XXX.XXX.XXX remote_ip=XX.XXX.XX.XXX cookies=b1a229c40bbed8f559d4a421a109a863 reason="Could not find acceptable proposal"
2007-12-24
09:17:31 Notice IPSEC
01802300


rule_selection_failed

rev=1 info=Peer IP address mismatch int_severity=6
2007-12-24
09:17:31 Info IPSEC
01803001


failed_to_select_policy_rule

rev=1
2007-12-24
09:17:31 Warning IPSEC
01802715


event_on_ike_sa

rev=1 side=Responder msg="failed" int_severity=6


При установке на роутере А ремоте ендпоинт того адреса который выдан сейчас роутеру Б соединение поднимается, т.е. не работает только с енд поинт None...

Где собака порылась?

А если поставить в роутере А remote endpoint allnet?

Странное решение, но получилось....

т.е. в ендпоинт должно быть множество, включающее в себя потенциальный ендпоинт....
Интерестная недокументированная фича...

Не, все логично - оба конца туннеля д.б. определены явно. Если один с изменяющимся адресом, то надо указывать диапазон допустимых адресов. А none - это тоже критерий, и dfl его корректно отрабатывает.