IPSec без виртуальных интрефейсов. Конфигурация узел-узел

[DarkFire13]

Доброе время суток! Видимо у меня замылились глаза. Подскажите пожалуйста.
Задача. Нужно при помощи IPSec (pre_shared_key) соединить два сервера (на одном debian 5, на другом Debian 7). У обоих реальные IP. Никаких сетей пробрасывать не надо.

Если нужны будут дополнительные конфиги - выложу. Пока просто проблема на словах. У меня все начинает работать только если я делаю так

#!/bin/sh 
ip tunnel del tun2 
ip tunnel add tun2 mode ipip remote 193.xxx.xxx.xxx local 91.xxx.xxx.xxx dev ppp0 
ifconfig tun2 10.10.4.254 pointopoint 10.10.3.254 
ifconfig tun2 mtu 1472 
ifconfig tun2 up

То есть я вынужден создавать виртуальный интерфейс и пробрасывать в нем серую сеть. Если этого не делать у меня tcpdump -i eth0 port 500 ничего не показывает; в логе racoon, кроме информации о корректном запуске ничего нет.

В интернете достаточно много информации как это должно работать без виртуальных интерфейсов, у ж без серых сетей точно. Я просто не могу понять куда мне смотреть и что почитать на эту тему.
Все же выложу конфиг racoon для Debian5 (соотвественно для Debian 7 он идентичен, кроме IP)

path pre_shared_key "/etc/racoon/psk.txt"; 
remote 91.xxx.xxx.xxx 
{ 
        exchange_mode main,aggressive; 
        proposal_check obey; 
        lifetime time 1 min; 
        proposal { 
                encryption_algorithm 3des; 
                hash_algorithm sha1; 
                authentication_method pre_shared_key; 
                dh_group 2; 
        } 
} 

sainfo anonymous 
{ 
        pfs_group 2; 
        encryption_algorithm 3des; 
        authentication_algorithm hmac_sha1; 
        compression_algorithm deflate; 
}

Решение:
Утро вечера мудренее. Оказывается нужно было просто правильно указать
режим Security Association указать transport а не tunnel

spdadd x.x.x.x/32 y.y.y.y/32 any -P out ipsec esp/transport//require;
spdadd y.y.y.y/32 x.x.x.x/32 any -P in ipsec esp/transport//require;