Интересная задача с IPSec и NAT

[sm4sh]

Всем доброго времени суток. Недавно столкнулся с интересной проблемкой.
Суть такова: есть две сети, предположим, в соседних зданиях. Между собой они соединены через какого-то местного провайдера или вообще напрямую. Соответственно, айпишники сетевых интерфейсов с обеих сторон находятся в одной серой подсети. Трафик между "офисами" шифруется с помощью IPSec (racoon). С одной стороны стоит FreeBSD, с другой - D-Link DFL-XXX. Машина с FreeBSD имеет доступ в интернет, второй "офис" - нет. В офисе без инета одному из компьютеров надо получить доступ в интернет на определенный адрес по определенному порту. Причем, софт там очень тупой и не работает через прокси ни в коем виде (и вообще запускается в качестве службы). Вопрос: каким образом можно настроить доступ в интернет для удаленного компьютера через NAT так, чтобы трафик между офисами бегал в зашифрованном туннеле? Сейчас это работает с помощью настройки NAT на D-Link'е и NAT на FreeBSD для внешнего айпишника D-Link'а, то есть трафик бегает вне туннеля...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[sm4sh]

Да, и еще кое-что. В программе у клиента можно изменить адрес и порт сервера, то есть можно указать айпишник в одной из защищенных сетей. Соединение происходит про протоколу TCP. Настройки ipsec на FreeBSD выглядят примерно так:

Код: Выделить всё

spdadd A.A.A.0/24 B.B.B.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd B.B.B.0/24 A.A.A.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;