Что в remote id передаёт iPhone? server.com?

А в Mikeotik identity local-id match стоит auto или fqdn?

по разному пробовал

Я использую DNS имя для iPhone тоже, в остальном могу показать настройки свои, которые работают

я думаю они не очень отличаются разве что именами сертов

Конфигурация и сертификаты, лишнее удалил, чтобы меньше места занимал вывод :

/ip ipsec identity
add auth-method=digital-signature certificate=mikrotik.lan disabled=no generate-policy=port-strict mode-config=ike2-vpn my-id=fqdn:mikrotik.lan peer=ike2-vpn policy-template-group=ike2-vpn

1 K   I T name="mikrotik.lan" digest-algorithm=sha256 key-type=rsa country="RU" organization="Home" common-name="mikrotik.lan" key-size=2048 subject-alt-name=DNS:mikrotik.lan days-valid=730 trusted=yes key-usage=digital-signature,key-encipherment,tls-server,tls-client ca=home-root-ca

2 K   I T name="iphone.lan" digest-algorithm=sha256 key-type=rsa country="RU" organization="Home" common-name="iphone.lan" key-size=2048 subject-alt-name=DNS:iphone.lan days-valid=730 trusted=yes key-usage=digital-signature,key-encipherment,tls-server,tls-client ca=home-root-ca

Вы делаете match по сертификату, а не по remote-id

таже ошибка, поменял и ничего не изменилось

Тогда debug ipsec нужно включать

как это сделать ?

нашел

там нет ничего интересного ) обмен сертами и одна ошибка п которой я писал

а ты можешь у себя на телефоне глянуть, эта запись e-mail в сертификате есть ?

у меня ее нет. только общее имя и общее имя кто подписал (домен)

Эта запись какая? SAN? Да есть.

а как может быть ? Я создал клиент серт. его экспортировал в p12 c паролем. и корневой эеспорт в crt без пасса. оба импортировал в тел.

у меня этой записи в виде мейла нет

Должна быть, это x.509v3 extension

внизу написано v3