Иногда читаешь какие-нибудь тематические форумы, и такую уже фигню пишут люди, что просто удивляешься. Они будут убеждать тебя, что настраивать необходимо что-то именно так, и работает технология именно так. При этом они сами ее ни разу не настраивали, я уже не говорю про изучения дампа пакетов. Вот свежий пример: когда мы говорим о VPN, которые поддерживают multicast трафик, нам сразу приходит на ум GRE туннель (или как его ласково называют, грешный туннель). Чтобы защитить данные в нем, можно привязать к нему transform-set (я сейчас говорю о Cisco) и трафик будет зашифрованн. Менее известный, но все равно возможный вариант, это IPSec VTI. Настраивается туннель точно также, разница в 1-ой комманде. По умолчанию когда мы создаем туннель, Cisco считает его GRE. Комманду "tunnel mode gre ip" вводить не надо, но если мы посмотрим "show run all" - мы ее увидим. Так вот IPSec VTI - это ввод комманды "tunnel mode ipsec ipv4". В чем разница? Внешне разница в номере IP Protocol в заголовке IP (47 для GRE и 50(ESP) или 51(AH) для IPSec) и 4 дополнительных байтах GRE заголовка. Отсюда следует, что если провайдер где-то прикрыл GRE туннель, мы можем попробывать IPSec VTI и наоборот. С функциональной точки зрения, GRE перевозит любой трафик: и ipv4 и ipv6. IPSec VTI - только ipv4.
Не верьте всему, что пишут в Интернете. Это как и на заборе: мне бы хотелось, чтобы Цой был жив, но реальность иная. Доверяйте свое обучение и консультации профессионалам.