Nenhuma das implementações L2TP/IPsec que tenho (parece ter) qualquer configuração possível para troca de chaves. Meus roteadores permitem criptografia e seleção de hash para IpSec bruto. A versão do Windows que utilizo permite criptografia e seleção de hash no 'firewall'. Mas em todos os casos em que a seleção de algoritmo é possível, ela parece não ter efeito no cliente L2TP/IPsec nativo.
Isso é apenas um acidente histórico ou o L2TP/IPsec implica uma seleção padrão de algoritmos de hash e criptografia para troca de chaves?
Em primeiro lugar, não há "troca" por conjuntos de cifras, é mais um "anúncio". O iniciador mostra seus possíveis algoritmos para/conforme cada fase está acontecendo e o respondente decide se permite/apoia isso ou não. Caso isso não aconteça, ele envia
NO_PROPOSAL_CHOSEN(não indicando o conjunto permitido ao seu lado e isso complica as coisas). Quanto ao cliente stock do Windows - pode-se dizer que o conjunto de propostas é meramente codificado dependendo da versão do sistema operacional, com algoritmos mais modernos para versões mais recentes; mas para Linux/FreeBSD/JunOS/IOS isso também é verdade, porque o conjunto de cifras depende diretamente da versão do kernel usada.PS Você pode visualizar as propostas que o iniciador envia para ambas as fases, IKE e IPSec, alterando ligeiramente o nível de log do seu daemon ISAKMP/IPSec no gateway de segurança.