> 12[IKE] received DELETE for ESP CHILD_SA with SPI 0df79ea0
Takže můžete zkusit zvednout na serveru debug level pro tuto oblast (neporadím jak) a stejně třeba nakonec nezjistíte, proč IPhone proti [vašemu IPsec serveru] tu security association típne vzápětí po navázání. Netvrdím že je to tenhle případ, ale moje dosavadní zkušenosti s IPsecem jsou přesně takové: různé implementace proti sobě navzájem se povedou málokdy. Jsou tu lidi, kteří IPsecem dýchají, a pro ně to třeba není takový problém. Taky tu zatím nikdo nezmínil, že IKE v2 je v tomhle lepší než "v1" apod.
Osobně mám lepší (použitelné) zkušenosti s OpenVPN. Je to jediný projekt (code base) a je sám se sebou slušně kompatibilní napříč mnoha releasy.
Pro tenhle scénář (cestující klienti na centrálu) doporučuji transport TCP (nikoli UDP), a pokud by nefungoval standardní port 1194, dá se to narafičit i na port 443 (který má o něco lepší šanci skrz firewally).
Autentikace klientů se dá navléknout pomocí PKI certifikátů, nebo pomocí loginu+hesla, nebo kombinací obojího. Z hlediska správy konfigurací klientů je nejjednodušší varianta, kdy jednotlivý klient potřebuje jenom svůj (jednotný) konfigurák, certifikát CA (pokud na server použijete self-signed certifikát) a samozřejmě login+heslo. Tzn. klient teoreticky nepotřebuje svůj vlastní certifikát. Je to méně bezpečné, ale jde to.
S OpenVPN (nebo s libtls?) se distribuuje pár skriptů zvaných "easy RSA", pomocí kterých lze generovat potřebné certifikáty. Na serveru je potřeba cerfikát a tuším soubor s "Diffie-Hellman" klíčem (nebo co to je).
Pro mě osobně asi nejnáročnější bylo zorientovat se v klíčích a certifikátech = naučit se základní chvaty s easy-RSA. Nějaké vzorové konfiguráky OpenVPN serveru a klienta mohu kdyžtak nabídnout.
Pokud by se mělo jednat o rozsáhlejší síť (větší počet mobilních zařízení) tak zvažte privátní APN. Odpadly by starosti s konfigurací a některými nectnostmi OpenVPN.