<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>no shared key found for 'local.example' - '137.135.x.x'<br>
      generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]</p>
    <p>The remote side is a Fortigate firewall, so I can't configure it
      the same. I can just choose local interface (ie wan) and remote
      gateway IP or Dynamic DNS, I have chosen Dynamic DNS.<br>
      It logs "<span style="color: rgb(0, 0, 0); font-family: Verdana,
        Arial, Helvetica; font-size: 10px; font-style: normal;
        font-variant: normal; font-weight: normal; letter-spacing:
        normal; line-height: 14.64px; orphans: auto; text-align: left;
        text-indent: 0px; text-transform: none; white-space: nowrap;
        widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px;
        display: inline !important; float: none; background-color:
        rgb(255, 255, 255);">peer SA proposal not match local policy</span>".<br>
    </p>
    <p>If I change to IP adresses it works, but that won't work for very
      long unfortunately.<br>
    </p>
    <br>
    <div class="moz-cite-prefix">Den 2017-04-29 kl. 02:49, skrev Noel
      Kuntze:<br>
    </div>
    <blockquote
      cite="mid:3fd025ee-e094-645c-58c2-213590fd6a77@thermi.consulting"
      type="cite">
      <pre wrap="">Hello Dusan,

On 29.04.2017 02:25, Dusan Ilic wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">Hi Noel,

Okey, if I don't set "left" and initiate the connection it takes the wrong route (multiple WAN-interfaces) and the remote peer don't expect that source IP. Probably works better if the remote peer is initiating connection instead.

If I set "left=%local.example" and "right" / "rightid" as you suggest I get the following output n logfile:

Apr 29 00:10:51 R6250 daemon.info charon: 10[IKE] tried 1 shared key for 'local.example' - '137.135.x.x', but MAC mismatched
Apr 29 00:10:51 R6250 daemon.info charon: 10[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]

If i fiddle in ipsec.secrets a bit, i get this instead:

authentication of '137.135.x.x' with pre-shared key successful
constraint check failed: identity 'remote.example' required
selected peer config 'site2site' inacceptable: constraint checking failed
no alternative config found

</pre>
      </blockquote>
      <pre wrap="">Alright. Try the following
left=%local.example
leftid=local.example
right=%remote.example
rightid=remote.example

remote.example : PSK "PSKGOESHERE"

Do it vice versa on the remote peer.

Kind regards,
Noel

</pre>
    </blockquote>
    <br>
  </body>
</html>