Musíš chápat způsob jakým se data do ipsec tunelu dostanou. Text, který jsi předložil, popisuje dvě techniky: virtuální iface a přesměrování na firewallu. Tvá interpretace je mylná, respektive nechápeš správně princip tunelů.
Tady to máš prakticky popsáno na linuxovém netfilteru:
https://www.mad-hacking.net/documentation/linux/networking/ipsec/nat-vpn.xml