Posso fazer uma VPN site a site com um IP público apenas de um lado?

Sim, você pode fazer isso.

Evidências? Eu tenho uma conexão IPSec do nosso escritório na Albânia para o nosso escritório na Noruega. O escritório da Albânia está por trás do CGNAT (o ISP fornece apenas 10. endereços para seus clientes). O escritório da Noruega tem um endereço IP estático público. A conexão é iniciada a partir do escritório da Albânia e configurada com keep-alive, de modo que, mesmo quando o link estiver ocioso, ele não seja demolido.

Eu também fiz coisas semelhantes (e consideravelmente mais facilmente) com o OpenVPN. Novamente, uma extremidade está atrás de um gateway NAT e a outra está em um endereço IP estático público. Com o OpenVPN, o fim público poderia até estar em um endereço IP dinâmico, desde que um serviço DDNS pudesse mapear um nome de domínio conhecido fixo de volta para o endereço IP atual.

Eu uso uma mistura de roteadores Draytek e Cisco / Linksys, então espero que os detalhes sejam diferentes para sua situação.

Não é necessário se o lado do IP desconhecido estiver iniciando, mas facilitaria as coisas se você tivesse:

1) O endereço IP do edifício e permissão para usar uma porta para encaminhamento de porta de sua VPN

2) Use DNS dinâmico para o lado do roteador que você não tem controle em relação ao endereço IP.

link

Sim, isso pode ser feito. Você precisa configurar o túnel no modo Agressivo e com o NAT Traversal ativado.