Sim, você pode fazer isso.
Evidências? Eu tenho uma conexão IPSec do nosso escritório na Albânia para o nosso escritório na Noruega. O escritório da Albânia está por trás do CGNAT (o ISP fornece apenas 10. endereços para seus clientes). O escritório da Noruega tem um endereço IP estático público. A conexão é iniciada a partir do escritório da Albânia e configurada com keep-alive, de modo que, mesmo quando o link estiver ocioso, ele não seja demolido.
Eu também fiz coisas semelhantes (e consideravelmente mais facilmente) com o OpenVPN. Novamente, uma extremidade está atrás de um gateway NAT e a outra está em um endereço IP estático público. Com o OpenVPN, o fim público poderia até estar em um endereço IP dinâmico, desde que um serviço DDNS pudesse mapear um nome de domínio conhecido fixo de volta para o endereço IP atual.
Eu uso uma mistura de roteadores Draytek e Cisco / Linksys, então espero que os detalhes sejam diferentes para sua situação.