O endpoint IPSec envia o ICMP “inacessível; frag necessário "mensagens enquanto não está roteando

Eu tenho um simples IPSec VPN site-to-site onde "server-A" está conectado a um "fw-A" através de um túnel IPSec. Na frente do "server-A" existe um switch com uma interface MTU de 1500 bytes voltada para o servidor. Às vezes, os clientes por trás de "fw-A" enviam pacotes grandes para "servidor-A" e as respostas do servidor com mensagens "inacessíveis; frag necessário" do ICMP:

11:19:22.309296 IP 10.10.10.135 > 192.168.100.4: ICMP 10.10.10.135 unreachable - need to frag (mtu 1438), length 36

10.10.10.135 é o endereço IP na interface eth0 "server-A" e 192.168.100.4 é o endereço IP do cliente final.

Estou correto que as mensagens ICMP "unreachable; frag needed" são enviadas apenas no caso (servidor agindo como) um roteador deseja rotear um pacote para outra interface, mas essa interface tem um MTU menor que o pacote e roteador não é permissão para fragmentar este pacote porque o sinalizador DF está definido? Se sim, então "servidor-A" não faz nenhum roteamento. Simplesmente o pacote deve atravessar decisão de roteamento duas vezes - pela primeira vez quando o pacote tiver Cabeçalho ESP e segunda vez quando isso não acontecer. Em ambas as ocasiões, o destino é 10.10.10.135 e o MTU para esse caminho deve ser 65536 bytes:

# ip route get 10.10.10.135
local 10.10.10.135 dev lo  src 10.10.10135
    cache <local>
# ip link show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
#

Alguém poderia explicar esse comportamento?