Oui bien sûr, je n'utilise que ça sur le routeur, mais le problème c'est que lorsqu'un paquet arrive, le lookup d'une policy ipsec se fait "en même temps" que le lookup du routage.

Si j'essaie un truc du genre:

ip route add XXX.XXX.XXX.XXX/24 via ZZZ.ZZZ.ZZZ.ZZZ src YYY.YYY.YYY.YYY

alors après le kernel ne trouve plus la policy ipsec