Сам долго возился с этой проблемой, решение нашел в фаерволе: добавить правило разрешающее форвард ipsec на vpn интерфейсе и запрещающий не шифрованный трафик. Проблему несанкционированного подключения не решает, однако в случае его осуществления не шифрованный трафик будет дропаться
add action=accept chain=forward in-interface=[vpn интерфейс] ipsec-policy=in,ipsec
add action=drop chain=forward in-interface=[vpn интерфейс] ipsec-policy=in,none