Enter an unused private Network and appropriate subnet mask (such as /24)
т.е. надо понимать, что это не неиспользуемые IP из диапазона сети, к которой они подключаются.
Нет, речь идет как раз о выборе (для туннеля?) отдельной, неиспользуемой ни на стороне сервера, ни на стороне клиента подсети.
О выдаче клиентам адресов из диапазона локальной сети я написал лишь как способ обойти необходимость настраивать брандмауэры на локальных машинах. Предпочитаю и клиентов и филиалы объединять в отдельные подсети.
Настройки IpSec вне моей компетенции, предпочитаю OpenVPN, c ним такой режим (TAP Bridging with LAN) настраивался бы, например, так:
https://forum.pfsense.org/index.php?topic=46984.0