O certificado que você instala no lado do servidor deve ser confiável para o cliente. Como você gerou um certificado autoassinado, copie o certificado para os clientes, importe-os e marque-os como confiáveis. Se seus clientes são móveis (ou seja, laptops), então, quando eles estiverem no escritório, você tem uma GPO para enviar o certificado automaticamente; se eles não forem móveis nem locais, você poderá usar o registro remoto ou o registro off-line . Espero que isso ajude, mas se não ... você deve considerar ler uma visão geral e configuração do cliente L2TP / IPSEC antes de passar muito mais tempo brincando.