Вбивание IPSec-секрета при настройке GRE-туннеля как раз даёт GRE over IPsec. Считаю это более правильным подходом, ибо нефиг провайдеру знать, какие туннели мы строим (хотя, да кому мы нужны )). При таком подходе летает чистый ESP. При любой из описанных Вами конфигураций, сети будут видеть друг друга при правильно настроенной маршрутизации. Считаю IPsec с интерфейсом гораздо более удобным и понятным, чем IPsec в туннельном режиме.
