关于在两个网关上实现转发并加解密数据

需要在两个网关之间的通信时，对包进行加密。两个网关的作用是转发两个子网间主机的互相通信。
拓扑图如下：

  --------数据不加密-------   数据要求加密  ----------- 解密数据-------
  |主机A |--------->|网关A|-------------------->|网关B|------->|主机B|

一般的在linux下实现ipsec在加密发送时，先进行处理然后分片；接受解密时，先进行重组
然后进行解密。但是这都是实现的主机到主机通信。
因为网关只需要转发数据，因此决定在nf_ip_forward上进行加解密，但是有个问题，
就是主机A发送的数据报到达网关A后，如果只通过nf_ip_forward，好像并不进行IP重组
操作，因为加密需要更改原始数据大小，并添加一些头。不知道能不能向后传送？
我想是不是需要把数据提交到用户空间，然后进行加解密操作，最后注入内核，但是又不
知道数据提交到用户空间时，数据是不是经过重组了，如果不是，我应该怎么办？
请教各位，欢迎讨论。