Возможно ли сохранить ipsec туннель (racoon демон), запущенный из под initramfs при смене корня switch-root'ом? Идея пустить nfsroot в ipsec туннеле. Рабочие станции - бездисковые, грузятся через iPXE.

По идее racoon обеспечивает только обмен ключами, а сам туннель функционирует на уровне ядра. Можно ли остановить racoon не обрывая туннель на время загрузки до поднятия racoon'а из основной ОС (20-30 сек)?

Чисто академически интересуют способы защиты данных (хранящихся и передаваемых по сети) в случае если злоумышленник всё-таки сможет получить физический доступ к стойке с серверами.

Уже множество раз высказывались мнения что при получении физического доступа ничего не спасёт, но всё-таки.

Возможно как-то так:

Отдельно выделяется слабый (мало жрущий электричества) сервер (atom какой-то) с полностью зашифрованным rootfs (/boot раздел с ключем находится на извлекаемой после загрузки флешке), на котором хранятся ядра, initramfs и ключи бездисковых серверов. Также на нём установлен web-сервер который передаёт ядро только при наличии клиентского сертификата. Вся сеть завёрнута в шифрованый туннель (ipsec или openvpn).
Будем называть его сервер ядер.

В сетевые карты серверов прошивается iPXE с клиентским сертификатом (не уверен влезет оно всё туда или нет).

Хранилище (NAS) грузит ядро с сервера ядер, в initramfs расшифровывает rootfs и грузится дальше как обычно. Поднимает nfs сервер и туннель (ipsec или openvpn). NFS раздаётся через туннель.

Теперь сама задача:
Какой туннель возможно поднять в initramfs?
Как бездисковым серверам в initramfs поднять туннель, смонтировать nfsroot и переключиться в него не обрывая туннель?