Подключение к vpn через двойной нат

У меня есть шлюз pfsense, который подключается к провайдеру и получает адрес publix. Он без проблем заботится о серверах и клиентах. К этому шлюзу я подключил еще один pfsense, чтобы поиграть и просто протестировать вещи, не нарушая того, что находится в сети PF01.

Проблема, с которой я столкнулся прямо сейчас, заключается в том, что я не могу получить доступ к сети PF02 через vpn.

Вот красивый рисунок, чтобы показать, что я имею в виду:

• «Я» (с vpn) и «администратор» (локально) могут получить доступ к тому, что происходит за PF01 и PF02.
• (не изображение) admin02, который также находится между pf01 и pf02, но на совершенно другом интерфейсе / сети, не может подключиться к PF02, только к PF01.

Я хочу иметь доступ к PF02 из «admin02», минуя PF01 (он все равно не работает).

Моя конфигурация:

OPENVPN настроен для предоставления адреса x.x.x.x / x и предоставления доступа к LAN-интерфейсу PF02. Я настраиваю свой клиент openvpn для доступа через ddns. Он настроен на прохождение через общедоступный адрес, и он работает, я могу получить доступ к «другому веб-серверу» из «ME» с этим доменным именем.

В PF01 я пересылаю любое на wan-of-PF02: 1194 В PF02 у меня есть правило передавать любое на wan: 1194, а еще одно в LAN для любого / любого

Системные журналы openvpn (и захвата пакетов) действительно отмечают, что кто-то пытался подключиться, но всегда терпит неудачу при установлении связи.

Я пытался найти решение, но оно всегда заканчивается фразой «не делайте двойных нат», чего я не хочу!

Я тестировал межсайтовый обмен между PF01 и PF02 (он работает, присоединен к домену и все такое), но теперь я действительно хочу удаленно подключиться ко второму брандмауэру напрямую.

РЕДАКТИРОВАТЬ: Я заметил, что кое-что забыл в своем маленьком рисунке, это воскресенье, канадский день, поэтому я вернусь во вторник, чтобы отредактировать его. Я переписал