Ipsec ,ikeimplementace
The IPsec stack, in turn, intercepts the relevant IP packets if and where appropriate and performs encryption/decryption as required. Implementations vary on how the interception of the packets is done—for example, some use virtual devices, others take a slice out of the firewall, etc.
Řeč je podle mě o "prezentaci"/konverzi cipherpaketů do dešifrovaného streamu (vnitřku tunelu)
Řezy z firewallu?
Co si mám představit pod zvýrazneným? (Wikipedia : internet key exchange)
Musíš chápat způsob jakým se data do ipsec tunelu dostanou. Text, který jsi předložil, popisuje dvě techniky: virtuální iface a přesměrování na firewallu. Tvá interpretace je mylná, respektive nechápeš správně princip tunelů.
Tady to máš prakticky popsáno na linuxovém netfilteru:
https://www.mad-hacking.net/documentation/linux/networking/ipsec/nat-vpn.xml