Ich habe ein seltsames Problem mit meinem Strongswan IPSEC (ikev2) Setup:

Der Server läuft auf Ubuntu 14.04 LTS Basis. Neben seiner festen IP hat er noch eine virtuelle Netzwerkkarte eth0:1, die das VPN betreuen soll.
Wenn man sich mit dem Server verbunden hat, soll sämtlicher Netzwerktraffic über das VPN geroutet werden (um im Freifunk oder dem speziellen Mitarbeiter-Firmen-WLAN sicher surfen zu können).

Wenn ich mich von Android mit dem StrongSwan Client verbinde, funktioniert dies anscheinend auch einwandfrei: Sobald ich mich über mein WLAN verbunden habe, kann ich nicht mehr auf den WLAN Router zugreifen. Die diversen "wie ist meine IP" Webseiten melden die IP Addresse des VPN-Servers. Mehr kann ich mit meinem nicht gerooteten Androiden aber glaube ich nicht rausfinden.

Nun das Problem: Wenn ich mich von meinen Windows 10 Geräten im VPN anmelde (ikev2, Computerzertifikat verwenden), dann verbindet er sich einwandfrei mit dem Netzwerk. Das IP-Sec Logbuch meldet eine Erfolgreiche Aushandlung, aber Windows macht da irgendeinen Unsinn:
Die Ip-Addresse wird mit 10.1.1.22 ermittelt - OK
Die Netzmaske jedoch ist 255.255.255.255 - sollte 0.0.0.0 sein
Standardgateway ist leer.

Kann mir jemand sagen, warum das so ist? Was muss ich machen, damit Windows sämtlichen Traffic über das VPN sendet?
(Eigentlich sollte das ein Test werden, ob der Datenverkehr ordentlich verchlüsselt wird, aber bis auf Zugriffe auf den Server 10.1.1.1 geht leider alles an dem VPN vorbei.

Code:
config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2

conn nat-t
        left=<ip-adresse des Servers>
        leftcert=server_cert.pem
        leftid="<certificat>"
        leftfirewall=yes
        leftsubnet=0.0.0.0/0
        right=%any
        rightsubnet=10.1.1.0/24
        rightsourceip=10.1.1.20/24
        auto=add