ipsec设备在内网，nat穿越问题

大佬们，如图所示总部这边ipsec设备在内网并且出口是固定IP、对接分部出口是不固定IP。那么只能由分部不固定端进行触发建立vpn隧道，他怎么才能知道总部ipsec设备在内网呢？ 是要在总部出口nat设备上把ipsec  UDP端口号500、4500都映射出来吗？

但是我已经映射出来了隧道还是建立不起来，分部状态为Unknown，总部什么也没显示。有没有大佬做过相应的案列求解答？？？？！

总部NAT设备配置：

nat server protocol udp global 23.0.0.2 500 inside 12.0.0.1 500

 nat server protocol udp global 23.0.0.2 4500 inside 12.0.0.1 4500

#

总部ipsec配置：

ipsec transform-set 1

 esp encryption-algorithm aes-cbc-128 

 esp authentication-algorithm sha1 

#

ipsec policy-template 1 10

 transform-set 1 

 ike-profile 1

#

ipsec policy 1 10 isakmp template 1

#

 ike identity fqdn r1

#

ike profile 1

 keychain 1

 exchange-mode aggressive

 local-identity fqdn r1

 match remote identity fqdn r4

 proposal 1 

#

ike proposal 1

 encryption-algorithm aes-cbc-128

#

ike keychain 1

 pre-shared-key hostname r4 key  simple 123456

分部出口配置：

ipsec transform-set 1

 esp encryption-algorithm aes-cbc-128 

 esp authentication-algorithm sha1 

#

ipsec policy 1 10 isakmp

 transform-set 1 

 security acl 3000 

 remote-address 23.0.0.2

 ike-profile 1

#

 ike identity fqdn r4

#

ike profile 1

 keychain 1

 exchange-mode aggressive

 local-identity fqdn r4

 match remote identity fqdn r1

 proposal 1 

#

ike proposal 1

 encryption-algorithm aes-cbc-128

#

ike keychain 1

 pre-shared-key address 23.0.0.2 255.255.255.255 key simple 123456