Варианты восстановления OpenSwan box в LibreSwan без простоев?

Это все в среде AWS VPC.

У нас есть старая машина Ubuntu 12.04 под управлением OpenSwan, которая управляет кучей VPN-соединений. До сих пор это работало хорошо для нас, но 12.04 больше не поддерживается, и OpenSwan является EOL, поэтому мы хотим перейти на 18.04 и LibreSwan (что, как мы понимаем, должно быть в значительной степени совместимо).

Мой вопрос: каковы наши варианты сделать это с минимальным временем простоя и без координации с другими сторонами всех этих соединений?

Теоретически я мог бы просто собрать коробку, скопировать конфиги и перевернуть виртуальный IP-адрес в какой-то момент, но это звучит... вряд ли будет хорошо работать без большого количества простоев.

В идеале я хотел бы, чтобы какой-то способ направлял только один источник за раз в новую коробку и переносил их постепенно, тестируя по ходу работы. Но я не знаю, какую магию маршрутизации мне нужно сделать, чтобы это произошло на VPC или на другом уровне. Из того, что я могу сказать, виртуальные общедоступные IP-адреса AWS могут принадлежать только одной машине за раз, поэтому не уверен, каким образом я бы перенаправил весь трафик, скажем, с одного из других шлюзов на новый ящик, оставив остальное на старом.

Одним из упрощений является то, что весь частный трафик остается на этом хосте. То есть, мы не направляем трафик через этот блок, а скорее этот блок имеет дело со всем этим частным трафиком внутри. Так что я думаю, что это упрощение.

Конечно, я не могу быть первым, кто столкнется с этим, как происходит миграция ipsec?