Может быть и такое.
Всегда проверяю после настройки на шлюзе в головном офисе с помощью tcpdump, чтоб ничего кроме трафика ipsec на внешнем интерфейсе не было.

Все верно, нет аутентификации пользователя, при настройке, например PSK, при компрометации одного шлюза - будет скомпрометирована вся сеть. В этом случае, на период обновления PSK, сеть будет недоступна полностью или частично, пока не обновятся ключи PSK на всех машинах. В случае L2TP, есть механизм отключения шлюза по пользователю, с дальнейшей плановой заменой PSK, без отказа в обслуживании всей сети.

Оверхед оверхеду рознь, здесь скорее всего просто констатируется факт появления этого оверхеда. В случае L2TP/IPsec против IPsec в туннельном режиме, да, первый проигрывает по размеру оверхеда, но содержит в себе многие преимущества встроенных механизмов протокола PPP: обнаружение колец, ошибок, разрывов, многоканальности и т.д.

Коллеги, добрый день!
Отчасти оффтоп, но на новую тему не тянет.

Прошу подсказать, как бороться с непредсказуемостью срока действия PSK:
используем vpn до RRAS'a по PSK средствами КриптоПро CSP 3.6 + ipsec1.1
При генерации пары задаётся срок действия -m 6 (6 мес.), но PSK истекает всегда не по графику.
Для примера: PSK сгенерирован 01.07.2017, должен закончится 01.01.2018.
30.10.2017 был выполнен chkpsk, который показал, что ключ истекает 01.10.2017, т.е. не должен работать уже как месяц. В итоге истёк 01.11.2017. Живёт своей жизнью.

Как генерим: genpsk.exe -D RRAS -n 01.11.2017 -v 2 -m 6 -f GenPSK -P CMAK -S -N ForOffice ForClient

Это особенность сборки или дело в нас?

Собственно я так коллегам и обозначил, что это сознательный вау-эффект для раскраски серых будней :)
Спасибо!