Как настроить strongswan на внешнее подключение?

Есть такая ситуация, нужно настроить vpn тунель по такой схеме:

Клиент -> Сервер -> Заказчика

Причем, должно быть так, что у заказчика нет доступа в сеть, он должен быть только в подсети сервера. Нужно настроить такую подсеть, чтобы она на сервере,с доступом в интернет и имела тунель к заказчику.

Соединение сервер -> заказчик я сделал, вот конфиг:

config setup
  charondebug="ike 2, knl 2, cfg 2"

conn %default
  keyexchange=ikev2
  auto=add

conn vpn
  leftsourceip=%config
  leftcert=<сертификат>.crt
  leftfirewall=yes
  right=<адрес>
  rightsubnet=192.168.120.0/24
  rightid=@<адрес>
  type=tunnel
  authby=pubkey

сделать доступ к сервер( клиент -> сервер ) не получилось.