Sto valutando IPsec.
Ho determinato che è meglio per il mio caso non usare AH (userà PSK per l'autenticazione).
Un problema che ho è che all'inizio non ci sarà connettività, quindi IKE non sarà utilizzabile; sarebbe appeso. La soluzione che ho trovato è chiamata "single key" (che capisco essere il PSK che è la chiave di sessione per la durata della sessione ... molti giorni, forse molti mesi), ma mi piacerebbe fare uno scambio di chiavi non appena posso, che è dopo che ho bisogno di avere IPsec autenticato (con PSK) funzionante. Quindi penso di non usare AH, non usare implementazioni IKE esistenti, iniziare come "single key", ed eseguire il mio demone per fare un aggiornamento / scambio di chiavi di sessione presto e poi periodicamente. Suona plausibile / sicuro? Questo sarà in Ubuntu 14.04.2 LTS con Linux 3.13.0. Posso codificare cose che potrei avere bisogno in Bash, AWK, C o Python.
Modifica:
Sembra che potrei dover fare un riavvio in qualche modo.