Как заставить два DFL-800 поднимать межу собой туннель, используя x.509 сертификаты?

Мой попытки успехом не увенчались.

Что делалось:
сертификаты и ключи для CA (ca_cert) и обоих DFL(dfl1_cert, dfl1_key и dfl2_cert,dfl2_key) сгенерированы при помощи openssl 0.9e

Сертификаты для DFL подписаны этим CA.
dfl1_cert, dfl1_key загружен в первый DFL
X.509 Certificates>Add>Upload X.509 Certificate
dfl2_cert, dfl2_key загружен во второй DFL
Так же
серификат ca_cert загружен в оба
X.509 Certificates>Add>Upload a remote certificate

Вкладка Interfaces>IPSec tunnels>Имя> Authentication
Выбрано X.509 Certificate

Root Certificate(s): Selected
Добавлено ca_cert
Gateway Certificate: dfl1_cert (на другом dfl2_cert)
Identification List: (none)

Результат в логах:
Bad logmsg: [2006-04-27 17:52:55] <6>FW: IPSEC: prio=1 Phase-1 [initiator] between usr@fqdn(udp:500,[0..20]=name@172.25.48.41) and ipv4(udp:500,[0..3]=192.168.120.254) failed; Authentication failed.

А ключи генерировали для Клиента и хоста?

Имеется в виду, что в nsCertType должны быть как флаг client, так и флаг server?

Нет имелось в виду 2 серитифката.

Кажется, мы друг друга не понимаем.


В начале темы dfl1_key и dfl2_key -- ключи для dfl1_cert и dfl2_cert соответственно.
в каждом dfl по одному сертификату и его ключу.


Те. на каждый DFL надо делать по 2 сертификата -- один с флагом client, а другой с флагом server?