Плюсов у тебя маловато что-то для IPSec.

>касательно ipsec:
>минусы:
>1) абсолютно разные реализации для разных ОС.
>2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим
>вариантом, либо заработает но не полноценно.

Начнем с того что IPSec это стандарт IETF. Что хоть почти все реализации придерживаются стандартов связать их не всегда просто это правда. Но к винде и кошке привязывается без проблем.

>3) документация не полна, не точна, сильно разбросана по интернету.
>частенько в ней речь идет о разных вариантах работы ipsec, без указаниия
>о каком именно варианте идет речь. как следствие - в разных
>источниках можно найти даже противоречивые сведения.

Теперь о документации. На английском ее навалом. И в документации о FreeS/WAN я противоречивости не заметил. Если вы искали на форумах документацию или статьи на русском непонятного качества тогда может так и есть. Я знаю только введение на www.securitylab.ru

>4) настройка сложна и совершенно различна для разных ОС.

В настройке ничего сложного и она очень хорошо документирована.

>5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы
>с пропусканием туннеля через файрволл.

Дополнительные протоколы это AH и ESP?
Для начала AH не рекомендован к использованию. Кроме того проблемы могут быть только одни - нельзя пускать IPSec через NAT, а то не будет сходится контрольная сумма пакета. В остальном он полностью прозрачен (при работе в туннельном режиме, а не в транспортном). Кроме того через NAT можно пустить IPSec но не рекомендуется т.к. снижается защищенность канала (только если некуда деваться).

>6) соединение не устанавливается автоматически при получении первого пакета с другой стороны,
>вместо этого используется довольно сложная процедура установления соединения.

Эта "сложная процедура" (видимо IKE имеешь в виду) одно из самых полезных в IPSec. Пока безопасность Diffie-Helman никто не опроверг.

>7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер
>на одной из сторон туннеля.

А бывает подземный стук.
Например может не подняться если его в инит не включить :)

>8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда
>сильная привязка к текущей версии ядра.

Ну 2.0.х ядер у меня нет.
Остальные 2.2 ветка и 2.4 ветка с различными версиями freeswan работает без единой проблемы.

>
>плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел):
>1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда,
>это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних
>протоколов.
>2) я встречал упоминания, что на базе ipsec можно создать не только
>туннели точка-точка, но и "облако", т.е. сеть поверх сети.

Можно.

>
>как уже видно по моим комментариям, я сам всецело за OpenVPN.

Причем это видно невооруженным взглядом :)

>
>PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет
>- буду только рад.

ИМХО вы правильно написали про OpenVPN но в IPSec вы зря стали калом кидать. Вы его неважно знаете судя по всему.