Nat vor IPsec mit Outbound Nat statt 1:1 Nat möglich?

[thorty]

Hallo,
nachdem ich viele Beschreibungen und Lösungen zu "Nat vor IPsec" gelesen habe ist die Lösung
für mich irgendwie nicht dabei.
Bei ca. 30 Kunden IPSEC Verbindungen ergeben sich natürlich Forderungen das man die Verbindung sowohl
sicher  macht (IPsec) als auch das man im Kundennetzwerk mit einer public IP auftaucht.

Die Forderung also:

Das absendene Netzwerk:
10.1.x.y/16 (NAT/Masqerade) zu "EINER" public IP

dann die Verbindung:
Die public IP in einen IPsec Tunnel

Alles was ich lese nutzt immer das 1:1 NAT, aber soviele offizille IP's hat man ja nicht, bei 1:1 Nat
muss ja die Subnetzmaske identisch sein.

Meine Versuche mit dem "Outbound Nat", es wird zwar durchgeführt aber die Pakete landen nicht
im IPsec, tcpdump sagt sie gehen auf das normale Wan Interface ....

Gibt es eine Lösung, ausser es mit 2 hintereinander stehenden Firewalls zu machen, die erste für's Nat
und die 2. für den Tunnel?

Danke

Thorty