такая ситуация: имелась сетка с удаленными офисами, построенная на длинках (в основном dfl600 и di804/808). года три работала, затем дфл600 с удручающей регулярностью стали падать (то прошивки слетают, то порты горят). в результате на смену дфл600 прикуплена циска 1811.
(конфигурю ее в основном через SDM)
настраиваю на ней vpn каналы. статические -- без проблем. но у меня еще есть пункты продаж, часть из которых подключена через что попало и имеют динамические адреса. вот такие-то каналы и не получается создать. параметры ike и ipsec не меняю на статических и дин каналах, т.ч. дело не в этом.

при поднятии канала между dfl600 и di804 присутствовала такая особенность: специальным образом заполняются peer id и peer id type. в dfl600 (со стат адресом): строковое значение, например, TEST, в di804: remote id -- stat_ip, local id -- TEST. TEST -- это идентификатор канала, заведенного на дфл600 для дин клиентов.

с циской как-то не так. аналога Tunnel name (который TEST) нету. ну или не знаю, наверное.
если на di804 не заполнять в параметрах тоннеля local и remote id, или заполнять какими-нить ip, внешние, внутренние, пофиг вроде (кстати, между просто di804 их можно и не заполнять, само все срастается), то проходит успешно первая фаза согласования (isakmp), а вот на второй говорит:

peer address aaa.bbb.ccc.ddd not found, тут aaa.bbb.ccc.ddd -- адрес с которого di804 выходит
IPSec policy invalidated proposal with error 64
phase 2 SA policy not acceptable!
и усе

если подставить remote и local id соответственно стат адрес и какую-нить фонарную строку (ну, имя канала в di804, имя DYNAMAP в циске, опять же далее пофиг), то опять проходит фаза 1, потом циска понимает что к ней ломятся с вышеуказанной сторокой, TEST (FQDN name TEST), но потом идут:

retransmitting due to retransmit phase 1

и так 5 раз потом облом

в лога у di804 то же самое: фаза 1 проходит, потом идут повторы, потом все разваливается.

рад бы выложить логи пополнее, но не могу: наблюдаю их в SDM, который на java, а из тамошнего окошка не могу сдернуть. а набить ручками стока не в состоянии

на cisco.com пока ничего толком не нашел

куда податься?