Вы можете использовать отдельный IP-адрес, но это необязательно. Для IPSec допустимо использовать тот же внешний IP-адрес, который уже используется в правилах DNAT.