Crear VPNs es algo que no suele ser trivial, lo parece, pero al final siempre acabas gastando mas tiempo del que a priori podrias pensar.
Para evitar que perdais mucho tiempo en el caso de montar una VPN el la que nuestro PAN tiene IP Publica pero el Equipo del otro Extremo tiene direcciones privadas y es un Router externo el que le hace NAT, hay que tener en cuenta que en la configuracion hay que modificar un pequeño parametro para que funcione correctamente.
Y es en el parametro Peer Identification dentro de la configuracion del IKE Gateway donde pondremos la direccion IP interna del FW del otro extremo, en nuestro caso la 192.168.103.5.
Tambien podemos ver en los logs del PAN en caso de no habernos dado cuenta de esto el error, primero hay que activar el DEBUG con (PANOS 4.1.X) debug ike global on debug y debug ike pcap on ahora podemos acceder al log del Debug mediante tail follow yes mp-log ikemgr.log y veremos lo siguiente
2012-04-11 12:43:52 [PROTO_ERR]: ipsec_doi.c:3433:ipsecdoi_checkid1(): peer identifier (type ipaddr [192.168.103.5]) does not match remote VPN_CustomerA
2012-04-11 12:43:52 [PROTO_ERR]: isakmp_ident.c:790:ident_i4recv(): 0:? – 195.76.56.139[500]:(nil):invalid ID payload.
Modificais el parametro como en la imagen y ya esta.
Saludos