Использование IPsec для обеспечения шифрования трафика между узлами

Я реализовал соединение IPsec между двумя парами, используя openswan (opens/wan) в CentOS 6. Это работает нормально, и я вижу, что трафик зашифрован. Однако если по какой-либо причине туннель IPsec больше не существует (возможно, кто-то отключил его, возможно, он сломался и т. Д.), Трафик все равно будет передаваться между узлами в виде незашифрованного трафика.

Как я могу гарантировать, что трафик между этими двумя одноранговыми узлами всегда отправляется в зашифрованном виде с помощью IPsec или что трафик между одноранговыми узлами не принимается.

Iptables, похоже, не помогает, поскольку пакеты проходят правила iptables дважды, один раз зашифрованные и еще раз незашифрованные.

Заранее спасибо.