При использовании аппартных EoGRE в 1.4.1 на ESR1200|/1700 требуется. , что бы пакеты GRE попадали на роутер через физический интерфейс. Т.к. пакет GRE распакованный из IPsec появится сразу в ядре, то его надо будет передать на ESR через физичейский интерфейс. Для этого потребуется вынести терминацию IPsec в отдельный VRF, а затем, через петлевой интерфейс GRE пакет передать соединив петлёй интерфейсы из которых GRE пакет будет выходить из VRF IPsec и передаваться в дефолтный VRF ESR. Т.к. эта схема отличается от существующей - то в дальнейшем потребуется перенастройка ESR1200/1700 OTT для возможности работы в схеме с аппартными тунелями. Что бы этого избежать, в версии 1.4.0-OTT реализована работа IPsec в VRF, что позволит сразу выполнить настройку ESR с петлевым интерфейсом и произвести обновление на 1.4.1 без каких-либо изменений в кнфигурации.
...