Inter-GW-Links verschlüsseln
Ich würde gerne etwas mit IPsec herumspielen und die Links zwischen den GWs (und auch zu mgmt) verschlüsseln. "Mehr Crypto für alle" und so. ;-) Wenn das läuft, wäre es prinzipiell auch denkbar, irgendwann eine IPsec-fähige Version vom Tunneldigger zu bauen.
Was dagegen sprechen könnte: Wenn wir bald GWs mit schwacher CPU haben (weil billiger und so), reicht deren Leistung dann noch? In Anbetracht der eher kleinen Menge an Inter-GW-Traffic würde ich schon davon ausgehen, dass das passt. Muss man aber im Auge behalten.
Cc @larma