Например, у вас несколько локальных подсетей в VDC, но эта проблема актуальна и при одной локальной сети в VDC.

Например, в VDC используете подсети:
10.1.2.0/27 (IP edge 10.1.2.1)
10.1.2.64/27 (IP edge 10.1.2.65)

У вас созданы 2 ВМ в этих подсетях: у первой IP 10.1.2.2, у другой 10.1.2.66

Трафик между ВМ ходит, например, пингуется ВМ между собой, а также пингуете Edge (10.1.2.1, 10.1.2.64).

Затем настраиваете IPsec. У вас в локальной сети используются подсети 10.1.1.0/24, 10.1.3.0/24 и вы, чтобы не утруждать перечислением этих сетей, по отдельности указываете подсеть 10.0.0.0/8.

То есть в эту подсеть 10.0.0.0/8 входят и подсети, которые находятся в VDC (10.1.2.0/27, 10.1.2.64/27). Проверяете доступность с ВМ (10.1.2.2, 10.1.2.66) в VDC ресурсов в офисе, наприммер, 10.1.3.10 - доступ есть.

Но потеряли доступ между ВМ в разных сетях внутри VDC. То есть не можете подключиться с 10.1.2.2 к 10.1.2.65 и наоборот. Также не можете и пропинговать IP edge 10.1.2.1 и 10.1.2.65.

Это из-за того, что трафик сначала попадает в тунель и уже не маршрутизируется на edge. Проблема будет сохраняться и при выключенном IPsec.

Решение: указывать подсети в IPsec так, чтобы не было вхождения подсетей из vdc в подсетях офисных.

В данном случае указывать 10.1.1.0/24, 10.1.3.0/24.