имеем две серых сети 192.168.1.0(192.168.1.1 - роутер) и 192.168.2.0(openvpn)

серая сеть 192.168.1.0 состоит из нескольких серверов подключенных в один свитч. между ними посредством setkey настроен ipsec. роутинг к сети 192.168.2.0 прописан в конфиге через gateway 192.168.1.1 на всех серваках сети 192.168.1.0

несколько рабочих из сети 192.168.2.0 подключаются к одному из серверов первой сети через openvpn.

включил tcpdump на 192.168.1.1 и увидел что шифруются только соединения между тачками сети 192.168.1.0, а между сетями 192.168.1.0 и 192.168.2.0 ходит открытый траф.

как зарулить чтобы траф с серваков 192.168.1.0, идуший через роутер 192.168.1.1 тоже шифровался?

пример конфига setkey:

# Configuration for 192.168.1.3
flush;
spdflush;

add 192.168.1.1 192.168.1.3 ah 0x200 -A hmac-md5 0x8e6353a128bcaa9374bb6c7e155429fb;
add 192.168.1.3 192.168.1.1 ah 0x300 -A hmac-md5 0x86e7591314fce9f5eb148939e9e12eca;

spdadd 192.168.1.3 192.168.1.1 any -P out ipsec esp/transport//require ah/transport//require;
spdadd 192.168.1.1 192.168.1.3 any -P in ipsec esp/transport//require ah/transport//require;