Site para Site VPN - Openswan e CISCO A2A

Abaixo está o diagrama que a conexão VPN entre o servidor Openswan e o CISCO A2A.

o cliente A e B são hosts remotos com ips estáticos. o cliente X e Y estão por trás do firewall da Cisco.

Eu posso ver STATE_QUICK_I2: enviado QI2, IPsec SA estabeleceu o modo de túnel no log. Então o túnel entre o openswan e o cisco está funcionando. Mas eu não consigo nem fazer ping no cliente X da VPN1.

1. Como configuro o cliente A para rotear o tráfego para o cliente X por meio de VPN1?
2. Regras de iptables VPN1 para capturar o tráfego proveniente do cliente A e depois encaminhar para o CICSO?

Aqui está o meu ipsec.conf

conn Linux-to-CISCO
    type= tunnel
    authby= secret
    left= <Openswan IP>
    leftsubnets= { client A/32 client B/32}
    right= <CisCo IP>
    rightsubnets= { client X/32 client Y/32 }
    esp= aes256-sha1
    keyexchange= ike
    pfs= no
    auto= start