Jak podłączyć oddział do siedziby przy zastosowaniu vpn saas

Jak podłączyć oddział do siedziby przy zastosowaniu rozwiązania VPN saas
Otrzymałem dwie propozycje od pomocy NASK:

  • W oddziale należy poprzez tunnel ipsec wymusić by do zasobów EZDRP dostawali się poprzez centrale gdzie jest NAT, w tej sytuacji mogą Państwo utworzyć DNAT

  • Jeśli oddział jest spięty z centralą po IPSEC’u, należy utworzyć routing tak by ruch z oddziału przechodził przez centralę do ezdrp.

Czy można rozwiać temat dokładnie jak to zrobić na jakiejś przykładowej konfiguracji?

Jeżeli już można by prosić o pomoc to dla przykładowej konfiguracji z tej instrukcji https://podrecznik.ezdrp.gov.pl/site/uploads/Konfiguracja-IPsec-VPN-Site-to-Site-FortiGate-21122022-1.pdf
a oddział oddalony od siedziby miał by przykładowo standardową pulę IP 192.168.0.0