VPN de IPsec de roteamento para sub-rede da VM

Meu computador físico é capaz de estabelecer um túnel IPsec (com Strongswan) para meu VPS acessível pela Internet, para que o tráfego da Internet do meu computador físico passe pelo meu VPS.

Eu também tentei e tive sucesso na configuração do Strongswan em uma VM em execução na minha máquina física. Expectedly, minha VM pode acessar a internet através do meu VPS.

O que eu gostaria de fazer é ter Strongswan em execução no meu computador físico, para que o tráfego de todas as minhas VM's (em 192.168.122.0/24) passe pelo meu VPS. Acho que isso deve ser possível com uma configuração de site a site (exemplo: link ), no entanto, não consegui fazê-lo funcionar. Eu não tenho certeza se o meu problema é com a configuração Strongswan, ou com a minha configuração de rede VM, ou ambos ...

ipsec.conf na minha máquina física:

config setup
    charondebug="ike 2, cfg 2"

conn kvm-test
    rightsubnet=0.0.0.0/0
    keyexchange=ikev2
    ike=aes256gcm128-sha512-modp8192!
    esp=aes256gcm128-sha512-modp8192!
    leftcert=client.pem
    auto=add
    right=123.123.123.123 # not my VPS's actual IP
    rightcert=vpn_server.pem
    leftsubnet=192.168.122.0/24
    left=192.168.1.2

ipsec.conf no meu VPS:

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

conn %default
    keyexchange=ikev2
    leftfirewall=yes
    auto=add
    leftsubnet=0.0.0.0/0
    left=123.123.123.123 # not my VPS's actual IP
    ike=aes256gcm128-sha512-modp8192!
    esp=aes256gcm128-sha512-modp8192!

conn kvm-test
    leftcert=vpn_server.pem
    rightcert=client.pem
    rightsubnet=192.168.122.0/24

Com esta configuração, a conexão é estabelecida com sucesso, porém o tráfego da minha VM não passa por ela. Devo observar que ip route show table 220 não mostra nada, o que é diferente do exemplo ligado acima, e não tenho certeza do que devo colocar lá ... ip route add table 220 default via 123.123.123.123 proto static não funciona. Alguma idéia?