Почему wireshark показывает зашифрованный трафик VPN (libreswan) и расшифрованный входящий трафик в туннельном режиме?

У меня установлен libreswan на двух машинах (A и B). Я подключаюсь по ssh к другой машине (B) и начинаю прослушивать порт с помощью netcat. Затем я подключаюсь к первой машине (A) с помощью netcat. Туннель настроен правильно, и я могу добавить соответствующие SA для расшифровки пакетов ESP в wireshark. Я вижу все исходящие ESP-пакеты и входящие ESP-пакеты, но я также вижу незашифрованные входящие пакеты с машины B. Когда wireshark расшифровывает входящие ESP-пакеты, полезная нагрузка полностью совпадает, а метки времени для незашифрованных входящих пакетов совпадают. Мне интересно, я что-то напутал или это так работает? Ядро обрабатывает расшифровку пакетов VPN, а затем «воспроизводит» пакеты, чтобы netcat на машине A мог их видеть. (В конце концов, netcat не замечает VPN, верно?)