otazka je co presne potrebujes vedet
moje zkusenost s ipsecem je na ciscu, juniperu a checkpointu, pricemz se tyhle hw/sf platformy i krizi.
nejoblibenejsim a take nejlevnejsim resenim je pro mne juniper, pokud je remote gateway taky od juniperu, je to ponekud jednodussi, ale potom zalezi na tom kdo se o druhou stranu stara (je to jen branch office a nebo 3rd party)

v praci na tom juniperu bezi okolo 300 s2s vpn tunelu
nakonfigurovani ipsecu, routingu a policy pro novou vpn mi trva asi 1-2 hodiny, podle policy
pokud je to cerstvy box tak s upgradem a zakladni konfiguraci tak o hodinu az dve vice.

co se tyce konfigurace samotneho tunelu tak je nekolik moznosti, zakladni jsou postavene na routingu (tunnel se postavi prvni packetem a traffic je poslan do tunnelu na zaklade routingu a povolen pres policy) a na policy (traffic ktery pasuje na danou policy je povolen a encryptovan a nasledne odroutovan)
jinak pouzivam tunnel mode...

vicemene nejvice casu zabere nez vlastni konfigurace vyjednani vsech potrebnych parametru a pak dost casu prida - ten jsem zapomnel pripocist konfigurace NATu - v pripade vpn do 3rd party - vetsinou kvuli overlapping ip addresam a z duvodu zkryti interniho ip rozsahu...)

samozrejme peer muze byt staticky a nebo dynamicky

no a tady je konfigurace route based vpnky:

definovani jednotlivych siti (pripadne hostu, rozsahu, etc)
Corp-VPN-Hub-> set address trust local_lan 10.140.10.0/24
Corp-VPN-Hub-> set address vpn denton_lan 10.70.1.0/24

vytvoreni tunnel interfacu (logicky) a prirazeni fyzickemu portu/interfacu
Corp-VPN-Hub-> set zone name vpn
Corp-VPN-Hub-> set interf tun.10 zone vpn
Corp-VPN-Hub-> set interface tun.10 ip unnumbered interface eth0/3

na druhem firewallu
S1-Denton-> set interface tun.10 ip unnumbered interface eth0/0

routing
Corp-VPN-Hub-> set route 10.70.1.0/24 interface tun.10
S1-Denton-> set route 10.140.10.0/24 interface tun.10

specifikace IKE Phase-1 and Phase-2 parameteru:
Corp-VPN-Hub-> set ike gateway denton address 10.0.1.71 main outgoing-
Interface eth0/3 preshare ocuguru sec-level standard
Corp-VPN-Hub-> set vpn denton gateway denton sec-level standard
Corp-VPN-Hub-> set vpn denton bind interface tun.10

S1-Denton-> set ike gateway corp address 10.140.0.3 main outgoing-
interface eth0/0 preshare ocguru sec-level standard
S1-Denton-> set vpn corp gateway corp sec-level standard
S1-Denton-> set vpn corp bind interface tun.10

samo ze jde pouzit certifikat atd a sec-level jde rucne nadefinovat (to jsou vlastne ike proposals tzn konfigurace jednotlivych fazi a ktere algoritmy jsou pouzity, ten sec-level standard je jeden z defaultnich)

IKE Phase-1 Standard Level:
Id Name Auth Grp ESP-e ESP-a Lifetime
-- ------------------ -------- --- ------ ----- ----------
5 pre-g2-3des-sha Preshare 2 3DES SHA-1 28800
7 pre-g2-aes128-sha Preshare 2 AES128 SHA-1 28800

pokud ma byt vpnka porad nahore z duvodu applikacnich:
Corp-VPN-Hub-> set vpn denton monitor rekey

no a policy na zaver:
Corp-VPN-Hub-> set policy from trust to vpn local_lan denton_lan any
permit policy id = 5
Corp-VPN-Hub-> set pol from vpn to trust denton_lan local_lan any
permit policy id = 6

samo ze jde specifikovat jaky service ma byt povolen...

v tuto chvili mohu lehce videt jestli je vpn nahore, popripadne v ktere fazi kkonci a co je duvodem, logovany traffic atd...

tak snad jsem neco nevynechal uz hlady sotva vidim. takze jak vidite je to proste..
no a samozrejme tu neni konfigurace veci jako jsou dns proxy, alg, dynamicky routing, traffic shaping, content security, high availability, multikastink, virtualni systemy, nat atd...

takze to je pro priklad, pro mini firmu to samozrejme bude moc cool reseni, ale krabicka ktera tohle zvladne stoji okolo 300 dolaru... nevim kolik stoji licence pro klastrovani.... to bych musel zjistit.