Como posso proteger todo o tráfego usando strongSwan / IPSec, exceto o acesso SSH?

como posso configurar o strongSwan para exigir o IPSec para todas as conexões, exceto as conexões SSH ?

Eu tentei criar duas conexões:

1. Crie uma "conexão" para o SSH usando o modo de passagem (à esquerda =% any / right =% any) e leftsubnet =% dynamic [tcp / 22]
2. Proteja todo o tráfego com o modo de transporte (esquerda =% qualquer / direita =% qualquer)

No entanto, quando reinicio o strongSwan, não consigo acessar o SSH no servidor. Parece-me que tenho que priorizar as conexões, mas não encontrei nenhuma maneira de fazer isso.

Qualquer ajuda seria muito apreciada.

Atenciosamente, Jochen