В случае IPv4 у нас есть net.ipv4.conf.all.send_redirectsфлаг, но он недоступен для IPv6. Есть ли что-то лучше этого?
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j DROP
По какой-то причине ядро Linux ошибочно предполагает, что пакеты IPsec ESP нацелены на ту же сеть, что и незашифрованный пакет. Например, если Linux-бокс (действующий как сервер IPsec) получает пакет из сети A, направленный в VPN-сеть B, и зашифрованный пакет необходимо отправить по той же сети A, он сообщает исходному хосту: «Эй, пакет направлен в сеть A, вы подключены к той же сети, поэтому можете отправить этот пакет самостоятельно», используя пакет ICMP Redirect. Ядро не понимает, что отправка зашифрованного пакета в сеть A — это не то же самое, что отправкаООНзашифрованный пакет в сеть А.