PFSense IPSec и NAT

Из-за плохого дизайна и ограничений хостинга у меня есть сеть, где я не контролирую роутер.

Наша сеть: 172.16.0.0/12 - LAN xxx0/24 - WAN (маршрутизатор подключен к коммутаторам, мы не контролируем его) 192.168.253.0/24 - Клиентская сеть IPSec 172.16.0.50/12 - Внутренний IP-адрес PFsense xxx251/24 - PFsense интернет IP

Мы используем PFSense 2.2.6.

Я настроил удаленный доступ IPsec с помощью этого руководства: https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-To

Он работает нормально, пока я добавляю статический маршрут к целевому серверу (ip r add 192.168.253.0/24 через 172.16.0.50). Конечно, это не будет работать ни в какой другой ситуации, потому что мой основной маршрутизатор не знаком с PFsense или чем-то в сегменте LAN. Он имеет интерфейс только в подсети WAN.

Есть ли способ заставить мои удаленные клиенты иметь IP в подсети 172.16.0.0/12 после их подключения? Могу ли я NAT их трафик с 192.168.253.0/24 на какой-то адрес в 172.16.0.0/12?

Пожалуйста, смотрите прилагаемую схему. Зеленая сторона - это локальная сеть. Я хотел бы добиться NAT от туннельной сети (192.168.253.0/24) к локальной сети (172.16.0.0/12) с использованием LAN IP.

Спасибо!