Ответ:
Да, можно. Для этого нужно настроить на маршрутизаторе с NAT проброс протоколов ISAKMP (UDP/500) и ESP (IP/50) на VPN шлюз подсети. Проиллюстрируем на следующем примере:
Для сети 192.168.1.0 необходимо предоставить доступ к сети 192.168.2.0. Обе сети расположены за маршрутизаторами DI-804HV, производящими NAT.
Настраиваем первый маршрутизатор:
LAN интерфейс:
WAN интерфейс:
Проброс протоколов (выставляем VPN шлюз в DMZ):
Второй маршрутизатор:
LAN интерфейс:
WAN интерфейс:
Проброс протоколов (выставляем VPN шлюз в DMZ):
Настраиваем первый firewall:
LAN:
WAN:
IPSec:
Настраиваем второй firewall:
LAN:
WAN:
IPSec:
Обратите внимание: в качестве VPN шлюза для противоположной сети используется адрес маршрутизатора, производящего NAT! Настройка закончена, проверяем доступность сетей командой ping.