маршрутизируемые туннели между сайтами с помощью Strongswan VTI. Marking

В прошлом я настроил несколько GRE-туннелей между сайтами. Но теперь мне нужно настроить туннель типа VTI, потому что AWS VPC поддерживает только его.

Все достаточно ясно, согласно документации Strongswan: нам нужно использовать MARKs при создании туннеля: https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN, чтобы определить, какой трафик должен быть туннелирован. Одна метка находится в ipsec.conf, а другая указывается при создании туннеля vti:

$IP link add ${VTI_INTERFACE} type vti local ${PLUTO_ME} remote ${PLUTO_PEER} okey ${PLUTO_MARK_OUT_ARR[0]} ikey ${PLUTO_MARK_IN_ARR[0]}
$IP addr add ${VTI_LOCALADDR} remote ${VTI_REMOTEADDR} dev ${VTI_INTERFACE}
$IP link set ${VTI_INTERFACE} up mtu 1436

И это работает. Но многие другие руководства показывают, что нам нужно создать несколько записей в iptables с теми же метками:

$IPTABLES -t mangle -I INPUT -p esp -s ${PLUTO_PEER} -d ${PLUTO_ME} -j MARK --set-xmark ${PLUTO_MARK_IN}

это очень интересно - это действительно необходимо в конфигурации VTI между сайтами? Потому что я вижу, что все работает без этой mangle записи. Почему другие используют его? Спасибо