EoIP nemá žádné zabezpečení, každý do toho po cestě vidí a případně může i zasahovat. Samozřejmě záleží na daném použití, zda mi to ne/vadí.
Pookud používám EoIP tunel tak, že jeho konce nejsou v bridge, ale routuje je přes RBčko dál, tak bych zvážil použití GRE místo toho. EoIP je vyloženě dělán pro tunelování L2 provozu, což při routingu nevyužiji (EoIP je modifikovaný GRE tunel, kde se navíc přenáší i Ethernet záhlaví s MAC adresama). Plus EoIP proti GRE je, že z pohledu koncových klientů zachová MTU stejně, jako má LAN, protože dělá fragmentaci/assemblaci paketů, aby zůstala zachována, kdežto GRE nebo IPIP je zkrátí o cca 20 bajtů. Cena za to MTU1500 je větší režie a menší propustnost na triko toho sekání/skládání. Někdy může vadit to ořízlů MTU v kombinaci s blbejma aplikacemi/firewally, tak má EoIP plus.
Také bych volil variantu použít GRE tunely a v případě požadavku na zabezpečneí je následné obalil pomocí IPsec transportu (MTU v tunelu je pak 1432). Problém s routováním a jeho řešení je pořád stejný.
Vyhnul bych se použití IPsec v tunelovacím režimu. Při požadavku end point komunikace mezi pobočkami kapánek do bolehlavu narůstají potřebné definice SPD. :-)
Varianta GRE/IPsec má i tu výhodu, že případně nad tím mohu pustit něco jako OSPF a on se ten routing nastaví sám. :-) Místo GRE můžu použít i IPIP tunel, ten mi zajistí o pár bajtů lepší MTU v tunelu. Pokud potřebuji tunelovat i IPv6 a chtěl bych použit dynamický routing, tak je plus GRE a ROS v6, kde můžu už jedním GRE tunelem naráz tlačit IPv4 i IPv6 s pomocí OSPF2+3. Ve starších musím použít kombinaci GRE (neob IPIP) plus SIT tunel.
V případě RBček je nutná podmínka pro IPsec (pokud se nechci zbláznit), že všechny konce tunelů mají veřejnou pevnou IP adresu (ani NAT1 není v cestě) a pla)k bude v centrále slušet RB1100AHx2, který má hardwarovou podporu pro šifrování IPsec.
