[exo]

Цитата Tonny_Bennet:

Если отключится IPSec - одна из сторон будет отправлять шифрованный трафик, а вторая не шифрованый. Связи не будет, но перехватив пакеты с не шифрованной стороны наверное можно что-то из-них получить. »

ну так запретите отправлять нешифрованный трафик.
у вас должны быть правила для отправки трафика через туннель: если одно правило не выполняется - трафик не передаётся.

к сожалению, не могу помочь с вашей инфраструктурой, но могу предложить следующий вариант, но с перестрой схемы сети и добавления оборудования:
сделать VPN S2S через OpenVPN или IPSec только для нужных направлений.
для каждого туннеля выбрать свою сеть.
для всех сетей руками записать маршруты (не ленитесь).