Мониторинг трафика IPSec делается не через устройства типа ipsec0 - это немножко вчерашний день :) Когда-то они были, да.
Вам нужно найти схему прохождения пакетов через iptables - полную, включающую xfrm encode и xfrm decode - урл не дам, но вот передо мной лежит печатный вариант под названием "Packet flow in Netfilter". И тогда все становится на свои места. xfrm encode - шифрование пакета, xfrm decode - соответственно расшифровка. xfrm lookup - проверка, подходит ли пакет под политики IPSec.
Под Ваши задачи как раз идет strongswan - на iOS взлетит встроенный, на андроиде есть клиент strongswan (встроенный - отстой), на винде нужно пробовать ShrewSoft. На сайте strongswan зиллион примеров конфигов под все мыслимые случаи и под роадварриор тоже есть.
Решений, кроме как на IPSec и на OpenVPN, Вы вряд ли найдете. На самом деле с роутингом IPSec все не так уж и сложно - достаточно сделать один филиал, остальные клепаются по шаблону, разве только с роадварриорами могут быть вопросы - я-то как раз пробовал железячное решение на микротике и пока отложил в связи с тем, что не было у микротика поддержки IKEv2 - появилась только недавно.
Средний
