IPv6 Strongswan IPSec + NAT

У меня есть VPS с IPv4 (/32) и IPv6 (/128).

Я настроил Strongswan, и мой IPv4-сервер IPSec работает просто отлично - я использую его все время.

Я пытаюсь заставить его работать с IPv6, и пока он не работает вообще. Поскольку у меня есть только /128 IPv6-адрес и без префикса, мне нужно использовать NAT. Мой сервер прослушивает IPv6, и возможно подключение только через IPv6. Я назначаю уникальный локальный адрес (ULA) своим клиентам, и они получают его правильно.

Я настроил NAT для преобразования префикса ULA в адрес моего сервера - точно так же, как я делал это в IPv4. Но это не работает, а правило NAT имеет 0 попаданий.

Я считаю, что есть проблема маршрутизации. Для моей сети IPv4 IPSec правило маршрутизации добавлено в таблицу 220 следующим образом:

ip route show table 220
 172.28.0.3 dev eth0  proto static

... но для моей сети IPv6 ULA это выглядит так:

ip route show table all
 fd00:dead:dead:dead::1 via 2001:29da:405:5f00::1 dev eth0  table 220  proto static  metric 1024

с 2001:29da:405:5f00::1 являющийся шлюзом по умолчанию IPv6 моего сервера.

Вот что у меня есть в IPSec.conf:

leftauth=pubkey
    leftcert=X.crt
    leftsendcert=always
    leftsubnet=0.0.0.0/0,::/0

    rightsourceip=172.28.0.0/23, fd00:DEAD:DEAD:DEAD:0:0:0:0/64
    rightdns=208.67.220.220,208.67.222.222,2606:4700:4700:0:0:0:0:1111,2001:4860:4860:0:0:0:0:8888

У кого-нибудь есть идеи? Где я должен смотреть?