Los firewalls locales de Linux no distinguen el trafico que hace match con las políticas IPSEC y lo tratan como trafico común, es decir si existen reglas MASQUERADE o SNAT estas cambian la fuente del paquete lo que hace que no aplique para pasar a través del túnel IPSEC.
Para resolver esto hay que hacer que los paquetes que concuerden con la política IPSEC se salten las reglas NAT y esto se logra en la cadena POSTROUTING con la siguiente regla que debe ser agregada antes de cualquier regla de NAT.