Почему происходит разрыв/переподключение IPsec туннеля на 2 фазе?

Обновили чекпоинт до последней из доступных версий, что и решило все проблемы.

Почему происходит разрыв/переподключение IPsec туннеля на 2 фазе?

rionnagel, Сейчас установлена версия прошивки 75.20.50. На днях должны обновиться на более новую 77 (насколько я понял это последняя доступная прошивка под данное устройство).

Почему происходит разрыв/переподключение IPsec туннеля на 2 фазе?

то, что expires in 48 seconds - это так и должно быть?

Да, установлен 1 час, просто копипаста такая получилась.

Ну и вот я сразу ошибку вижу:
received NO_PROPOSAL_CHOSEN error notify

Нюанс с несоответствием алгоритмов шифрования уже решен, данная ошибка больше не появляется, не в ней дело.

Чему равно policy? strict, obey?

Вот тут можно по подробнее, где посмотреть? На Strongswan wiki ничего толкового не нашел. Если речь о "strictcrlpolicy", то по идее равен "no" раз явно не указан.

В одном из обращений на вики strongswan'a вычитал:

It is well known that IKEv1 main mode with PSK authentication just does not work in NAT situations! Please switch to IKEv2 if the peer supports it or use certificate-based authentication.

Поэтому закралась мысль, что в iptables чего-то не хватает для корректной работы ikev1.