Человек вручную настраивает ESP между хостами

https://www.sobyte.net/post/2022-10/ipsec-ip-xfrm/
ip xfrm командой устанавливает AES-GCM IPsec шифрование. Скрипт при
запуске каждый раз с нуля создаёт ключ шифрования, копирует по ssh на
другую машину: неплохо то, что хотя бы создаётся новый ключ на каждый
перезапуск. Но он в обе стороны использует один и тот же ключ: то есть
буквально дважды переиспользует AES-GCM ключ. *Полностью* нивелируя
безопасность.