Strongswan：非特定のリモートホストを使用したトランスポートモード

DebianJessieでstrongSwan5.2.1を使用していますが、希望どおりに設定するのに問題があります。

前提

テスト環境で、Linux仮想マシンとアクティブモードのFTPサーバーとして構成されたWindows仮想マシンの間でトランスポートモードIPsecを使用しようとしています。 IPsecはFTPトラフィックに適用されますのみ。つまり、WindowsVMのTCPポート20および21との間のトラフィックです。 2つのホスト間の他のすべてのトラフィック（pingなど）は暗号化されていない必要があります。

私がこれを行っている実際のシナリオでは、FTPサーバーのIPアドレスが異なるため、strongSwan構成で特定のリモートIPを参照する必要がないようにします。

Linuxのipsec.confファイル

内容は以下のとおりです。

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
    # strictcrlpolicy=yes
    # uniqueid =  no
# Add connections here.
include /var/lib/strongswan/ipsec.conf.inc
conn main
    type=transport
    left=%any
    right=10.1.1.2
    leftauth=psk
    rightauth=psk
    ike=3des-sha1-modp1024
    esp=3des-sha1
    keyexchange=ikev1

conn data
    also=main
    rightsubnet=%dynamic[6/20]
    auto=route

conn command
    also=main
    rightsubnet=%dynamic[6/21]
    auto=route

問題

上記のIPsec.confは、FTPサーバーのIPアドレスがファイルでright=10.1.1.2行で指定されていることを除いて、私がやりたいことをすべて実行します。

also=routeパラメーターは、TCPポート20または21で10.1.1.2との間でトラフィックが検出された場合にのみキー交換が開始されることを意味します。キー交換を開始する構成が必要です。 任意のIPアドレスそのアドレス 'TCPポート20および21との間で送受信されるトラフィックが検出された場合。

そのような構成はstrongSwanで可能ですか？そうでない場合、私が達成したいことを実行できるLinux用の他のキーイングデーモンはありますか？

追記

• right=%anyを設定しても、希望どおりの結果が得られません。この設定により、リモートホストはローカルホストとの鍵交換を開始できます。ローカルホストがリモートホストとの鍵交換を開始するという意味ではありません。
• WindowsホストのIPsec構成は、接続の両端でAny IP Addressを使用するように設定されており、希望どおりに正常に動作します。
• 私の構成でIKEv1を使用するのは、レガシー互換性のためです。

ありがとうございました。