strongSwan без проблем работает с if_ipsec туннелями

Пару лет назад в 4fd50729cbda852f89101b587ec7483fdda2108c писал что в
FreeBSD есть возможность создания ipsec-интерфейсов которые
автоматически устанавливают SP в ядро с туннеллированием пакетов по этим
интерфейсам ходящих. Но я тогда тестировал это с racoon-ом, с которого
уже давно слез. strongSwan оказалось не сложно подружить с этими SP,
просто сказав что не надо явно устанавливать policies и "связать" reqid
созданного туннеля с правилом из strongSwan. Например:

    ipsec0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1400
            tunnel inet6 fc00::7a00 --> fc00::98f1
            inet6 fe80::9a40:bbff:fe45:e810%ipsec0/64 scopeid 0x8
            inet6 fd::dc/64
            groups: ipsec
            reqid: 12345
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

    conn SOME-REMOTE
            left=fc00::7a00
            right=fc00::98f1
            type=tunnel
            rightid=@SOME.stargrave.org
            auto=start
            installpolicy=no
            reqid=12345

При прохождении трафика ipsec0 запросит наличие SA, strongSwan его
предоставит, трафик будет ходить зашифрованным.