Раз всё равно я поднял WireGuard между ними
(
5cb0d1facad355fc9192f34c048141680e30185e), как туннель для IPv6
трафика, то какой смысл в IPsec, который будет идти внутри этого
туннеля? Использовать IPsec для IPv4 я зарёкся -- гиблое дело.
Мне нравилось в IPsec то, что в нём я мог задавать security policy,
запрещающие общаться например DNS master↔slave без защищённой связи.
Теперь это заменил правилом firewall-а, который просто запрещает этот
трафик не по VPN каналу (если или он, или BGP лежат, то трафик пойдёт
честно через маршрутизацию обычную). Поднятие WireGuard-а в daemontools
делается на раз два.