我正在尝试在两个站点之间建立 IPsec 连接：我们的 Azure 网络和我们客户的本地网络。为了灵活并避免任何当前或未来潜在的 IP 范围重叠，我希望“NAT 远离”隧道一侧（或两侧）的某些网络。不幸的是，有时这些重叠是无法避免的，因为我们不能强迫我们的客户改变他们的网络配置。

为了让它更复杂一点，我希望能够只对某些网络中的一些设备进行 NAT，而不是对整个网络进行 NAT。这提供了最大的灵活性，因为我们的一些客户不能或不想保留与我们使用的相同大小的网络，他们只需要访问某些设备/计算机。即他们可能不需要访问数据库服务器，Web 服务器就足够了。

这是一个示例：（
站点A是我们，站点 B是客户）

这种“NAT 魔术”是如何发生的？我们在 Azure 中使用 OPNsense 设备，因为我们的客户需要访问的资源就在那里。

我可以在配置了 IPsec 隧道的 OPNsense 上执行此操作，还是需要第二个设备？

感谢您的任何提示！