>[оверквотинг удален]
>> int tun 0
>> tunnel key 1
>> end
>> wr
> Т.о., можно отметить:
> 1. ipsec/gre туннель на линукс-боксе работает.
> 2. gre tunnel на csr поднимается, но не работает.
> Исходя из этого, возможно проблема на линукс-боксе именно с форвардом gre.
> zanswer, спасибо! Завтра попробую настроить gre форвардинг на линукс-боксе, и дам вам
> знать.

Именно, NAT маршрутизатор не выполняет их пересылку в адрес удалённого маршрутизатора. К слову, в случае, если вы будете использовать GRE over IPSec, то фазу борьбы с GRE over NAT, можно пропустить, поскольку RFC 8086: GRE-in-UDP Encapsulation пока не актуален, а вот RFC 3948: UDP Encapsulation of IPsec ESP Packets весьма актуален и уже реализован.

Иными словами, проблем с NAT не возникнет, если инициировать соединение будет ваш CSR1000V, поскольку, как только маршрутизатор будет выявляться NAT, он будет переходить к инкапсуляции ESP пакетов в UDP. При этом GRE пакет будет находится внутри ESP, а значит NAT маршрутизатору не придётся иметь дело с плохо транслируемым через NAT GRE.