Есть два хоста с сабжем, между которыми ipsec в транспортном режиме, поверх него уже gre и т.п.
Так вот иногда по непонятным причинам security association отваливается и траффик, соответственно, начинает ходить не шифрованный. Почему это приосходит дело отдельное (DPD включал, но в этом случае charon уходит в 100% загрузки проца), вопрос как запретить передавать незашифрованные пакеты.
Я, конечно, могу закрыть файрволом всё, кроме ESP пакетов, но не хотелось бы.
Если делать ipsec через setkey, то там был режим, кажется, require который дропал все пакеты до установки ipsec.
А как тут сделать я не нашел.