Depois de vários dias lutando, eu pude lidar com isso, fazendo os seguintes passos e postarei a solução aqui para ajudar os outros
Obtenha o ID exclusivo do SA desejado que você deseja que seja nat, por exemplo:
setkey -DP
e encontre o ID exclusivo do SA:
3.3.3.3[any] 2.2.2.2[any] any
out ipsec
esp/tunnel/REALIPLOCAL-REALIPREMOTE/unique:1
created: Jul 22 22:29:34 2018 lastused: Jul 22 22:29:34 2018
lifetime: 9223372036854775807(s) validtime: 0(s)
spid=2715 seq=0 pid=13358 scope=global
refcnt=1
neste caso: 1
adicione uma nova política:
setkey -v -c
spdadd -4 1.1.1.0/24 2.2.2.2/32 any -P out ipsec esp/tunnel/REALLOCALIP-REALREMOTEIP/unique:1;
Isso deve ser suficiente para rotear os pacotes dentro do túnel e obtê-los nat'ed para coincidir com o SA real instalado.
Lembre-se de que esse ID exclusivo deve corresponder ao SA instalado e, se você alterar a ordem de instalação do SA no StrongSwan, deverá alterar essa política para se ajustar ao novo UniqueID.
As regras nat devem ser aplicadas na interface enc0.
Referência:
Boa sorte.