pfSense: Como fazer NAT de 1: 1 para servidor hospedado em local remoto vinculado por meio do túnel IPSec

Temos 2 datacenters em dois locais diferentes e estamos transferindo nossos serviços da localização A para B sem interrupção. Ambos os locais têm um Firewall PFSense configurado com um túnel IPSec entre si e tudo está funcionando bem. Eu sou capaz de fazer ping de máquinas LAN no local A da localização B LAN e vice-versa. Eu tenho um servidor FTP no local A usando um endereço WAN público do local A usando 1: 1 NAT e está funcionando bem. O que eu preciso é configurar um endereço IP WAN no local B que poderá acessar o mesmo servidor através do túnel IPSec no local A para eu mover lentamente os IPs no DNS de vários domínios para o novo IP do local B para eventualmente desligar o local A e, finalmente, mover o servidor para um IP da LAN no local B.

Esquema de Rede

Quando eu vou para o menu DIAGNOSTIC / PING no local B e tento pingar o servidor no local A, ele funciona bem se eu selecionar a LAN como endereço de origem, mas não funcionar se eu usar DEFAULT ou qualquer outro endereço. É claro que se eu configurar um 1: 1 no local B da WAN para o IP da LAN do servidor no local A, isso não funcionará.

Sim, configurei uma regra no IPSec para permitir QUALQUER ANY de todos.

Alguma ideia de onde devo olhar? NAT de saída, ROTAS personalizadas?

Obrigado pelo seu tempo!