Ситуация:
есть большая внутренняя сеть 192.168.0.0/16

вся локальная сеть ходит в интернет через dynamic nat

ip nat inside source list 10 interface GigabitEthernet0/0.900 overload

access-list 10 remark local NAT
access-list 10 permit 192.168.0.0 0.0.255.255

И есть компьютер 192.168.30.253 организует ipsec канал инициируя
соединение с внешним IP, идёт работа по udp портам 500 и 4500
суть в том, что динамический nat подменяет при трансляции адресов порты
- вместо 500 и 4500 идут 1, 2 и т.п.
не подскажете как прописать nat, чтобы номера портов сохранялись? (ip
меняется с внутреннего на внешний)
пробовал добавлять:

ip nat inside source static udp 192.168.30.253 4500 interface
GigabitEthernet0/0.900 4500
ip nat inside source static udp 192.168.30.253 500 interface
GigabitEthernet0/0.900 500

не работает - всё равно номер порта меняется.

Пробросы снаружи вовнутрь типа:

ip nat inside source static tcp 192.168.150.195 3389 interface
GigabitEthernet0/0.900 195

работают. Вот только в этом случае соединение инициируется снаружи, с
внешних хостов. А 192.168.20.253 инициирует сам и это не работает.
В чём грабли?