Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями  роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу.
Вот вырезки из конфига:

crypto isakmp policy 50
encr aes 256
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 10 periodic
!
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association replay window-size 256
!
crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile Tunnel_crypt
set transform-set SEC

crypto pki trustpoint domain1-cert
enrollment mode ra
enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
usage ike
password 7 154C9E2E567D8F727A126C0145514E5129
revocation-check crl