VPN anidadas en iPhone iOS 11

Estoy desarrollando un complemento de cliente VPN personalizado para iPhone, trabajando en dispositivos iOS 11. Espero configurar VPN anidadas para que el tráfico esté doblemente encriptado.

Estoy trabajando con VPN por aplicación, así como con clientes VPN para todo el sistema de estilo siempre activo y bajo demanda. Como ejemplo, lo que me gustaría hacer es acceder a un punto final de VPN IPSec para conexiones por aplicación, donde el punto final existe en una red a la que solo se puede acceder a través de un punto final de VPN SSL que está conectado a través de una VPN en todo el sistema.

Consulte el siguiente diagrama para obtener más ejemplos de lo que quiero decir:

Tenga en cuenta que Systemwide VPN no necesita ser SSL, ya que entiendo que Always-On VPN puede estar restringido al uso del cliente VPN integrado de iOS con IKEv2.

Para la VPN de todo el sistema, tengo una fuerte preferencia por Siempre activo, ya que no permite que el usuario lo deshabilite. Sin embargo, en mis pruebas, parece que cuando se carga una VPN siempre activa en el iPhone, todas las demás VPN desaparecen de Configuración y no se pueden habilitar. Pude configurar una VPN bajo demanda en todo el sistema y una VPN por aplicación para que funcionen simultáneamente, pero todavía no una pasa por la otra.

La parte de la que no estoy seguro, y que hasta ahora no he podido replicar, se ha marcado con la línea de puntos. ¿Puede la VPN por aplicación conectarse y enrutarse a través de la VPN de todo el sistema?