IKE(v1) плохо подходит для удалённого подключения клиентов (сценарий road warrior), он создавался для связи стационарных точек. У него много проблем, много недоработок, вся дополнительная функциональность добавлялась костылями.
Windows не поддерживает обычный IKE без L2TP.
1. IKEv2 и L2TP не умеют в LDAP, только RADIUS? RADIUS поднимать не хочу, лень.
Протоколы поддерживают
EAP, в частности, для логина и пароля в Windows используется EAP-MSCHAPv2. Какой бекэнд для аутентификации использовать — зависит только от сервера.
strongSwan не поддерживает LDAP напрямую, но поддерживает RADIUS. Для freeradius есть плагин аутентификации через LDAP.
2. Можно ли к IKEv1 подцепить windows-хосты?
К «чистому» — нет. По крайней мере, не через стандартный Windows-клиент. Возможно, какие-то дополнения от Cisco или других сторонних производителей могут добавить такую возможность, но необходимо устанавливать дополнительно.
3. Насколько вообще безопасно/эффективно/глупо юзать голый IPsec?
IPsec — хороший протокол, но IKEv2 лучше IKEv1 во всём.
Вот здесь приводил пример конфигурации:
https://qna.habr.com/answer?answer_id=2192678#answ...