vagy elrouteolod a tartomanyokat minden gepen az ipseces gepe(i)d fele mindket tartomanyban oda-vissza, vagy a defgw-en csinalod meg a tunnelt es a route-okat. arp nem jatszik, ez nem layer2... a NAT-ot pedig nem is ertem mrie kell neked.