Why IPSec transport still exist if almost always it could be changed to tunneling and vice versa?
Não vejo o IPSec do modo de transporte usado na população geral de usuários de dispositivos em rede hoje. Eu acho que nunca construiu impulso suficiente para ser implantado universalmente. Os fornecedores de software e de rede tinham motivação para vender implementações do modo de encapsulamento (além de extensos back-ends) para clientes corporativos com necessidade de acesso remoto, mas não enviavam o modo de transporte para ninguém. As capacidades podem ter existido, mas a facilidade de uso ainda deixa muito a desejar.
Então existe, mas ainda é relevante? O modo de transporte historicamente não era acessível a um grande número de usuários. Uma exceção foi o pessoal do software livre.
Histórico e status de implementação de criptografia oportunista para IPsec
O link acima descreve o esforço histórico para colocar o IPSec em uso em todos os lugares e como esses esforços foram bloqueados. As razões podem ser resumidas como a insegurança da infraestrutura da Internet (ou seja, DNS) e a relativa complacência dos envolvidos em alterá-la.
why do all these approaches exist and duplicate each other?
Todas essas abordagens existem principalmente devido à identificação independente e à solução de variações da necessidade de acesso remoto seguro, aproximadamente no mesmo período de tempo. Uma versão ligeiramente melhorada da sua pergunta pode ser "por que todas essas abordagens ainda estão em uso?"
Você respondeu sua própria pergunta sobre por que o L2TP ainda está em uso: contabilidade e configuração. (pode ser mais interessante ver por que outros protocolos, como o PPTP, não estão mais em uso.) Em muitos casos, mesmo que você não se importe com contabilidade e configuração,
Em outros casos, a resposta não é tão clara. Pegue o caso de gateway para gateway. Você pode usar o IPSec de modo de túnel puro ou usar túneis GRE sobre IPSec (na verdade, acredito que eles estejam no modo de transporte IPSec). Eu não sei se existe alguma vantagem de um jeito ou de outro além da familiaridade. Pessoalmente, eu nunca configurei o IPSec no modo de túnel em um roteador Cisco. Eu sempre fiz GRE criptografado. Por quê? Porque tudo o que sei sobre GRE simples aplica-se ao GRE criptografado. Então é familiar para mim.
Não esqueça de VPNs / Túneis em nível de aplicativo, como o OpenVPN ou o Secure Shell. Geralmente, eles têm um desempenho pior do que implementações no nível do kernel ou do appliance. Mas eles eram (e são) geralmente mais fáceis de usar e tinham a vantagem de passar mais facilmente por proxies e firewalls (pelo menos até o advento da inspeção profunda de conteúdo). Além disso, eles geralmente têm menos dependências; é muito mais fácil compilar o OpenVPN em um servidor Linux antigo do que recompilar o kernel para suportar o IPSec.
Could you give me example of situation when one of these methods is "the only right one to use"?
Na rede (como na computação), você nunca verá "o único a usar". Na maioria dos casos, você está preso com o que é viável. Por exemplo, todos os dispositivos Android funcionam com VPNs baseadas em L2TP. Então, isso é viável, mesmo que você não precise de configuração ou contabilidade. A familiaridade que tenho com túneis GRE em dispositivos Cisco facilita a implementação do IPSec do modo de túnel puro. E eu posso fazer um OpenVPN ou um túnel baseado em SSH em um antigo servidor Linux que não posso atualizar (por algum motivo ou outro).