[Irv]

Ich schreib das alles nur unter vorbehalt - "aus dem kopf":

AH bietet keinen vollkommenen schutz der ip-pakete. im gegensatz zu esp wird der ip-header nicht verschlüsselt, sonderen die pakete werden mit dem org. ip-header versendet.
vieleicht ist das gemeint?
aber "problem" würde ich das nicht nennen. kommt halt drauf an, was man will.

da aber - zumindest dem anschein nach - keine security gateways an den beiden enden verwendet werden, fällt esp eigentlich aus.

zudem bleibt bei einer implementierung über AH die last der verschlüsselung beim client (auch wird für jeden client ein eignener key verwendet). evtl. ein performance problem. obwohl ich auch das kein "problem" nennen würde.

zu guter letzt: beim tunnel-mode wird der org.-ip-header weiterverwendet. dabei könnte es zu routing problemen zum ziel-netz kommen (pirv. adressen werden i.d.r. nicht geroutet). d.h. wenn deine teilnetze, wie in der angabe über das internet miteinander verbunden sind, und nicht direkt, werden die pakete nie ankommen...