Das bedeutet, dass die Verbindung statt im main mode (verschlüsselter handshake) im aggressive mode aufgebaut wird.
Im aggressive mode wird im handshake auch unverschlüsselt (s. https://community.cisco.com/t5…ressive-mode/ta-p/3123382) gesendet.
Damit ist es im Prinzip möglich den PSK per brute force zu errechnen. Wenn man allerdings einen sehr guten psk verwendet halte ich das Risiko für eine private VPN Verbindung für vertretbar. Es gibt schlicht keine Alternative für s2s mit Fritzbox und unifi, bei Verwendung dynamischer IPs.