Я бы немного по другому ответил.
поднятый туннель под ipsec, нужен только для того чтобы уменьшит количество политик ipsec.
Так как в туннеле происходит инкапсуляция трафика, то мы можем городить любые маршруты. а в политиках IPsec прописать только два ip адреса =)
Если вам действительно это интересно то посмотрите на реализацию такой схему как "IPsec over GRE in loopback", как только разберётесь в схеме, сразу поймете для чего делаются тунели под IPSec