Когда мои пользователи ЛС хотят посекретничать, я их прошу не морочить голову сетевикам, а заворачивать траффик в SSL/TLS и аутентицировать сообщения на 7-ом уровне.Если таким образом решить задачу приемлемо не получается, то настраиваю оверлейную сеть между конкретными заинтересованными хостами, отдельными группами.
До настоящего времени использовал Tinc, теперь, наверное, буду WireGuard пробовать.
Похоже?
(Такая вот глубокая неприязнь к решениям с потрохами зависящим от мутного функционала "божественных ящиков")