Eu encontrei ... O script phase1-up.sh contém no final as seguintes linhas:
44 #
45 # XXX This is a workaround for Linux forward policies problem.
46 # Someone familiar with forward policies please fix this properly.
47 #
48 echo "
49 spddelete 0.0.0.0/0[any] ${INTERNAL_ADDR4}[any] any
50 -P fwd ipsec esp/tunnel/${REMOTE}-${LOCAL}/require;
51 " | setkey -c
52
Esse código deve ser comentado, para que a política de encaminhamento não seja excluída. Então um simples
iptables -t nat -A POSTROUTING -o $WAN_IP -j MASQUERADE
faz o truque.