Netplan и Ipsec — указать netplan оставить интерфейс в покое?

Я пытаюсь использовать Strongswan для создания туннеля Ipsec на сервере с Netplan. Netplan в настоящее время не имеет конфигурации для интерфейсов tunnel1 и tunnel2, которые Ipsec вызывает при создании туннелей. Мне это кажется (почти) правильным.

Службы ipsec запускают сценарий, который создает интерфейсы tunnel[1,2] (при необходимости они могут называться vti[1,2]). Если туннель выйдет из строя, ipsec отключит связанный с ним интерфейс (используя этот сценарий). Этот сценарий также устанавливает маршрут для сети по другую сторону VPN. Этот маршрут сохраняется только до запуска Netplan, после чего он удаляется. Интерфейсы туннеля выглядят следующим образом:

25: tunnel2@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ipip 1.2.3.4 peer 2.3.4.5
    inet 169.254.9.238 peer 169.254.9.237/30 scope global tunnel2
       valid_lft forever preferred_lft forever
    inet6 fe80::200:5efe:c6f4:8f78/64 scope link
       valid_lft forever preferred_lft forever
26: tunnel1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1419 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ipip 1.2.3.4 peer 3.4.5.6
    inet 169.254.199.162 peer 169.254.199.161/30 scope global tunnel1
       valid_lft forever preferred_lft forever
    inet6 fe80::200:5efe:c6f4:8f78/64 scope link
       valid_lft forever preferred_lft forever

Маршрут, который я хотел бы добавить через сетевой план, можно добавить вручную следующим образом:

ip route add 10.1.0.0/16 dev Tunnel1 Scope Link src 10.0.16.170/24 metric 100

Есть ли способ сообщить netplan что-либо из следующего:

• оставлять маршруты для определенных интерфейсов/пунктов назначения в покое?
• Сообщить netplan игнорировать все, что связано с tunnel[1,2] интерфейсы?
• указать netplan создавать маршруты для интерфейсов, которые не существуют и не находятся под его контролем?

... или любой другой способ заставить Netplan играть хорошо с ipsec.Я бы предпочел не идти по «тяжелому» пути отключения сетевого плана только для того, чтобы мои VPN ipsec работали.

Как правильно соединить все это вместе?