SDWAN如果采用POP接入(有网关)方式，那么site to site的tunnel怎么过nat呢？

如下图分支cpe需要通过pop点接入，连接到其它分支或者总部cpe，如果需要加密，一般使用ipsec，ipsec的对端无法通过pop点直接建在对端cpe上，而如果ipsec对端建在pop点上，那么ipsec终结在pop点上，会在pop点做一次解密和加密操作，很耗性能，又暴露了用户报文。
我看versa有张图，底层可能是先建的vxlan tunnel，ipsec跑在vxlan上，即ipsec over vxlan，这样ipsec在pop点之间直接被转发到对端cpe。
但问题来了，一般cpe位于防火墙之内，需要过nat，vxlan是无法支持nat的，难道他们修改了pop端的vxlan实现机制？