No caso do IPv4 temos net.ipv4.conf.all.send_redirectsflag, mas não está disponível para IPv6. Existe algo melhor que isso?
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j DROP
Por alguma razão, o kernel do Linux assume erroneamente que os pacotes IPsec ESP têm como alvo a mesma rede que a rede não criptografada. Por exemplo, se uma máquina Linux (agindo como servidor IPsec) receber o pacote da rede A direcionado para a rede VPN B, e o pacote criptografado precisar ser enviado pela mesma rede A, ele informará ao host de origem "Ei, o pacote é direcionado para a rede A, você está conectado à mesma rede para poder enviar esse pacote sozinho" usando o pacote ICMP Redirect. O kernel não entende que enviar pacotes criptografados para a rede A não é o mesmo que enviarunpacote criptografado para a rede A.