Config duplo OpenVPN em rede única WANLANWAN2LAN2

Eu tenho minha configuração de rede da seguinte forma:

Os dois cabos CAT6 entre o Site A eth3 e o Site B eth 0 são um problema de segurança para mim, pois estão disponíveis abertamente para qualquer pessoa emendar e obter acesso à minha rede. Para remediar isso, pretendo criptografar tudo entre o Site A eth3 e o Site B eth 0 usando o OpenVPN.

Eu pretendo ter um túnel VPN local entre o Site A eth 3 e o Site B eth 0. E para complicar as coisas, isso tem que ser um túnel VPN que eu já tenho entre o Site B e um servidor remoto na Alemanha . Este túnel tem algumas portas isentas e é isso que o túnel VPN entre o Site A eth 3 e o Site B eth 0 é para.

Para tentar explicar, digamos, o tráfego gerado no Site B passa pela LAN (eth3) para a WAN (eth2), onde é criptografado (com algumas portas isentas). Este tráfego (semi) criptografado vai para LAN (eth1) e depois para WAN (eth0) onde é totalmente criptografado antes de ir para o site A LAN (eth3) onde é descriptografado (eu posso acessar as portas para SMB, Plex etc aqui ). Em seguida, o tráfego (semi) criptografado restante vai para o servidor remoto na Alemanha.

Alguém pode dar conselhos sobre como configurar isso no pfSense?