Примерно так, но с длиной ключа и правда косячок
Этого мало. Надо ещё ключик для HMAC
Из расчёта:
1. DES - 64 bit = 16 шестнадцатиричных символов (именно они вводятся в команде)
2. 3DES - 192bit = 48 знаков
3. AES128 - 128
4. MD5 - 128bit = 32 знака
5. SHA - 160bit=40 знаков
Причём при вводе команды на длину ключа не ругается, а ругается в дебаге при установлении туннеля
ЗЫ И без хэширования трансформ-сеты не работают для ipsec-manual. Т.е. просто
crypto ipsec transform NEW esp-aes не прокатит
Но в целом правильно