Tenemos una VPN configurada para usar certificados digitales para autenticar peers ISAKMP. De acuerdo, si uno de los peers actúa como CA él mismo, obtendremos ese error si dejamos las cosas como están. Debería funcionar así, pero de hecho no lo hace.

Se necesita un nuevo CA TrustPoint en ese router CA, autenticarlo y obtener el certificado que usará nuestro GETVPN. A partir de ahora conseguiremos un IKE fase 1 funcionando a las mil maravillas.

Me encontré que al intentar configurar GETVPN, uno de los KS era la propia CA. Hice una batería de pruebas después y descubrí que puede pasar también en otros tipos de VPN, no sólo con GETVPN.