В чем проблема с подключением к ipsec+ikev2 через сертификаты?

Смотрю wireshark'ом на клиенте и tcpdump'ом на сервере.

Проходит так:
клиент запрашивает у сервера ikev_init
сервер отвечает
клиент отправляет свой сертификат и поддерживаемые шифры
сервер их получает и отправляет ответ
клиент не получает этот ответ! (в некоторых сетях тот же самый клиент получает его и тогда подключение к VPN проходит успешно)

Сервер отправляет пакет, но на клиент он не доходит:

mysite = домен моего сервера
clientdomain — мой клиент
17:27:23.187306 IP (tos 0x0, ttl 64, id 48370, offset 0, flags [DF], proto UDP (17), length 365) mysite.isakmp > clientdomain.432: isakmp 2.0 msgid 00000000: parent_sa ikev2_init[R]: (sa: len=44 (p: #2 protoid=isakmp transform=4 len=44 (t: #1 type=encr id=aes (type=keylen value=0100)) (t: #2 type=integ id=hmac-sha ) (t: #3 type=prf id=hmac-sha ) (t: #4 type=dh id=modp1024 ))) (v2ke: len=128 group=modp1024) (nonce: len=32 data=(c4a4d5aed36e40823c9a...bf291b136ca24898abf4000b0000000800004014)) (n: prot_id=#0 type=16388(nat_detection_source_ip)) (n: prot_id=#0 type=16389(nat_detection_destination_ip)) (v2cr: len=21) (n: prot_id=#0 type=16404(status))

На клиенте wireshark'ом этого пакета нет, остальные есть:

В чем может быть проблема?
Такое в некоторых сетях(2ком, некоторые от мгтс). В некоторых сетях от мгтс данный волшебный пакетик доходит и тогда к VPN подключается успешно.

Как настроить VNP IPSec туннель на Windows?

Добрый день, подскажите, пожалуйста, как настроить IPSec туннель между двумя сетями?

сеть1:
192.168.0.0
255.255.255.0
шлюз — 213.150.*.*
сеть2:
10.0.120.0
255.255.254.0
шлюз — 213.87.*.*
сеть2 настроена со следующими параметрами:
Phase1:
pre-shared-key ****
encryption algorithm: 3DES
hash algorithm: SHA1
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Phase 2:
Transform set esp3dtu: { esp-3des esp-sha-hmac }
will negotiate = { Tunnel, },
Security association lifetime: 4608000 kilobytes/3600 seconds

Как настроить сеть1 штатными средствами windows xp или с помощью утилит, например Shrew Soft VPN Client?

Пробовал использовать этот мануал: www.ixbt.com/comm/wrls-ovislink-wmu-9000vpn_2.shtml туннель видится на обоих сторонах, но при попытки пинговать адрес в сети2 происходит бесконечное согласование политик безопасности. Есть возможность изменять параметры сети2. В логах сети2 не проходит первая фаза.