Encontrou a solução.
Criada a regra de NAT de saída na interface da LAN. A fonte é rede de túnel, o destino é a rede LAN.
O IP de origem é sempre o IP do firewall, mas é algo com o qual posso conviver.
Devido a restrições incorretas de design e provedor de hospedagem, tenho uma rede em que não controle o roteador.
Nossa rede: 172.16.0.0/12 - LAN x.x.x.0 / 24 - WAN (o roteador está conectado aos switches, não temos controle sobre ele) 192.168.253.0/24 - rede do cliente IPSec 172.16.0.50/12 - IP interno do PFsense x.x.x.251 / 24 - IP da Internet do PFsense
Estamos usando o PFSense 2.2.6.
Configurei o acesso remoto IPsec usando este guia: link
Funciona bem desde que eu adicione a rota estática ao servidor de destino (ip r add 192.168.253.0/24 via 172.16.0.50). É claro que não funciona em nenhuma outra situação porque meu roteador principal não está familiarizado com o PFsense ou com qualquer coisa no segmento da LAN. Só tem interface na sub-rede WAN.
Existe uma maneira de fazer com que meus clientes remotos tenham IP dentro da sub-rede 172.16.0.0/12 quando eles se conectarem? Posso NAT seu tráfego de 192.168.253.0/24 para algum endereço em 172.16.0.0/12?
Por favor, veja o diagrama em anexo. O lado verde é a LAN. Eu gostaria de alcançar NAT da rede de túneis (192.168.253.0/24) para LAN (172.16.0.0/12) usando o IP da LAN.
Obrigado!