Na terminologia do strongswan, "esquerda" é o servidor e "direita" é o cliente. "leftsubnet" é o que você deseja modificar. "0.0.0.0/0" corresponde a toda a Internet, portanto, qualquer cliente conectado tentará enviar tráfego vinculado à Internet pela conexão VPN, o que evidentemente não é o que você deseja.
Você pode rotear vários IPs do lado do servidor, definindo-os como blocos de conexão separados, e removendo completamente a linha do leftsubnet (ou restringindo sua definição) ...
conn ikev2-vpn-1
left=%any
leftid=173.194.44.71/32
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity
conn ikev2-vpn-2
left=%any
leftid=173.194.44.65/32
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity
Os blocos definitivamente não precisam de tudo isso, mas eu não tenho uma caixa strong para brincar, mas essa é a ideia. Qualquer cliente de conexão obterá um ip de 10.10.10.0/24 e uma rota para 173.194.44.65/32 e 173.194.44.71/32 pela VPN e usará as rotas que já tinha para todo o resto ...
Espero que isso ajude.