Én mondjuk nem kedvelem az IPsec-et Linux alatt. Tisztábbnak érzem, ha egy tunnelnek van kernel interfésze, ahova "normálisan" route-olhatod a titkosítandó forgalmat.
Ebben lehet hogy benne van egy régi biztonsági réssel kapcsolatos tapasztalatom is, amikor hetekig titkosítatlanul ment a csomag egy hibásan létrehozott és jól megbúvó policy routing miatt.