> Az lehet, hogy az ipsec nem használ interfészt (mondjuk ez is gyanús)
Te nem vagy benne biztos, és ezért találod gyanúsnak. Ez egyébként számomra se volt logikus (mert más OS-eken általában interface-hez van kötve). Anno én is csodálkoztam rajta, amikor az interface-ek hiányát konkrétan leírva láttam egy MikroTik-es előadáson. De utánanéztem és kiderült hogy ez így van. A ipsec konfigurációban sehol nincsenek interface-ek.
> de egyébként a hálózati forgalom interfészhez kötött
A node-ok közötti hálózati forgalom az igen, és valóban hálózati interface-en megy ki az IPSEC csomag. De az ICMP az ebben a konkrét példában közvetlenül sehol nem megy ki. Csak az ipsec belsejében, de az meg külön van route-olva.
> Ha a ping random rossz interfészre kötődik, pont az lenne a tünet, hogy jó interfész esetén megjön a válasz, rossz interfész esetén meg eldobja a kernel a csomagot az utolsó pillanatban, mert az alkalmazás nem látja.
De nem kötődik random interface-re, emiatt a route miatt:
add comment="VPN to magnet-base" distance=1 dst-address=192.168.19.0/24 gateway=ipsec pref-src=192.168.14.254
Pontosan ugyan ez a route van használva a forward-olt csomagokra és a router-ből kiküldött csomagokra is. Láthatod hogy benne van az interface, és a pref-src is. Az pedig egy tény, hogy ezek a csomagok soha nem érik el az ipsec nevű bridge interface-t, mert mielőtt odaérnének, be vannak csomagolva ipsec-be. Az egy teljes képtelenség, hogy ez random rossz interface-t használ. Ez a statikus route a legspecifikusabb az adott célcímre, nem használhat másikat.
Ezért írtam wpeople kollegának hogy a ping parancsban a pref-src kézi megadása ezen semmit nem változtat.
De esküszöm csinálok egy videót erről, hogy kizárjam a csalás gyanúját is. :-)