не сразу увидел ответ
с админом, который имеет доступ к хабу пришли к мнению, что от хаба не уходит ответ на спок по подтверждению ключа, если я правильно понимаю как это работает
на хабе сыпет сообщениями
HUB#
HUB#
HUB#
HUB#
Mar 27 10:15:31.627: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1
Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= белый_адрес_хаба:0, remote= белый_адрес_спока:0,
local_proxy= белый_адрес_хаба/255.255.255.255/47/0 (type=1),
remote_proxy= 192.168.100.2/255.255.255.255/47/0 (type=1),
protocol= ESP, transform= NONE (Transport),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Mar 27 10:15:31.775: map_db_find_best did not find matching map
HUB#
HUB#
HUB#
HUB#
HUB#
HUB#
HUB#
Mar 27 10:15:31.775: IPSEC(ipsec_process_proposal): proxy identities not supported
Mar 27 10:15:31.775: ISAKMP:(5256): IPSec policy invalidated proposal with error 32
Mar 27 10:15:31.775: ISAKMP:(5256): phase 2 SA policy not acceptable! (local белый_адрес_хаба remote белый_адрес_спока)
Mar 27 10:15:31.775: ISAKMP:(5256):deleting node -148834991 error TRUE reason "QM rejected"
HUB#
HUB#
HUB#
HUB#
192.168.100.2 - адрес на интерфейсе спока на роутер провайдера
куда копать