Obecný problém té konfigurace je v tom, že pakety, co odesíláš, tak používáš v definici IPsec peera a SPD protistrany veřejné IP protistrany a co prijimáš, po vybalení z NAT-T, tak mají vnitřní IPčka protistrany, takže ti je nenajde v definici peera/spd, pokud je to definováno s těma veřejkama a na to ti to řve.
Můžeš zkusit, že nebudeš IPSec nastavovat mezi těma veřejkama 172.217.23.195..172.217.23.206, ale nastaviš jako oba konce ty neveřejky, co máš na WAN portech 192.168.13.99..10.10.20.99. A k tomu doplníš, routu, že ta vnitřní IP protistrany se routuje na adresu tvé aktuální brány a zároveň, že pro tu vnitřní IP adresy protistrany provdedeš DSTNAT na odchozí provoz stylem 10.10.20.99->172.217.23.206 na její veřejku. A na druhé straně to stejné pro ty IPčka 192.168.13.99->172.217.23.195 (routu a dst nat).
Jiná možnost jak to ojebat (pokud to ten IPFire dovolí), tak je eliminovat to NAT-T a dosáhnout pocitu, že mám veřejky přímo na routeru. Pokud máš NAT 1:1 na obou stranách, tak si udělám virtuální loopback interface na routeru, tomu dám tu skutečnou veřejku/32 a provádím SRC/DSTNAT pro tu veřejku z loopbacku na neveřejku na daném wan portu a pak nastavuji IPsec s koncy těch veřejek a nedojde k aplikaci NAT-T.