Me refiero a que Kerberos no solo se utiliza en windows. Por supuesto encripta als contraseñas, pero el envío de tickets puede ser a su vez firmado, o firmado y cifrado (o sin firmar, incluso, aunque windows creo que no lo contempla, por eso las sincronizaciones de reloj son tan críticas)...

Si no "requieres" la autenticación fuerte, un equipo podría usar algun tipo de smbrelay usando un protocolo más débil, de forma que estando en medio de dos equipos (suplantando indentidad) y aunque ambos equipos puedan conectarse con autenticación fuerte, las credenciales pasarán a través del smbrelay con el protocolo débil... Si quieres forzar la seguridad alta debes hacer que sea obligatorio usar el nivel más alto de autenticación. Efectivamente es como dices... La maquina atacante dirá que no dispone de autenticación fuerte o de IPSEC, en tu caso, y podría realizar el MiM de todas formas.

En una red encriptada, si el router no puede integrarse, deberías utilizar una máquina que SI pueda como router o gateway... Si estás con windows, un ISA te hará la vida más fácil en ese sentido (los equipos saldrían a través del ISA, no del router que sólo estaría conectado a una segunda tarjeta del ISA).