Добрый день

Есть strongswan, то мануалам из хелпа roadwarrior настроил сервер в режимах ike2 и  ike1-l2tp
можно подключаться и так и эдак, одновременно - всё работает, вопросов нет!

НО, захотел я для ike2 чтобы на сервере был отдельный интерфейс для клиентов, опять же, на офф сайте есть примеры как сделать, скрипты приведены, нужно прописать leftupdown и там уже создавать общий интерфейс если его нет и роутить на него ip  клиента
проблема в том, что для этого в charon.conf нужно отключить install_virtual_ip (=no)
если это сделать, то ike2 работает как хотелось, НО, ломается l2tp! судя по логам, strongswan даже не пытается вызвать pppd чтобы авторизовать пользователя и создать интерфейс.

подскажите, как заставить работать эту странную схему?