As configurações padrão que você usou no SRX funcionarão bem (apenas não defina no-nat-transversal, que não é o padrão). Contanto que o FW3 tenha um IP público e não-alvo, a VPN simplesmente surgirá. Além disso, verifique se você está no modo agressivo em vez do modo principal para a VPN.
E, por último, certifique-se de ter 'ike' permitido nos serviços host de entrada no lado não-confiável do FW1. Eu tive alguns problemas que me fizeram coçar a cabeça por um tempo que permitiria que um IP público aparecesse, mas ao se conectar atrás de um NAT, a VPN não surgisse sem o IKE ser permitido.