Что это такое?

Это следующий узел маршрутизации для левой стороны.

Зачем это нужно?

Для маршрутизации зашифрованных пакетов туннеля на удалённый шлюз IPsec.

Как это настроить?

Указать IP-адрес узла, через который левая сторона маршрутизирует пакеты на правую сторону. Помимо явного указания адресов, допускаются также следующие специальные значения:

%defaultroute

Адрес шлюза определяются автоматически как default gateway из текущей таблицы маршрутизации на момент старта IPsec. Данная конфигурация необходима, в частности, для всех клиентов, работающих с динамических IP-адресов.

%direct

Прямое соединение без промежуточных шлюзов. Вместо шлюза подставляется адрес другой стороны соединения. (Установка по умолчанию.)

ПРИМЕЧАНИЕ. Если установлено left="%defaultroute", то значение leftnexthop не должно быть указано явным образом. Фактически в этом случае вообще не следует использовать данный параметр. Допустимо также указание leftnexthop="%defaultroute".

Из двух параметров leftnexthop и rightnexthop один является объективно излишним и нужен только для симметрии конфигурации. В терминах настройки IPsec в Cisco, другой (действующий) параметр соответствует

crypto map ...
  set nexthop